Cryp_Upack - erkannt aber nicht löschbar

Smeagol45 · 05.08.2008, 07:44

Hallo, ich habe seit gestern einen "Virus" auf meinem Rechner den ich nicht weg bekomme. Hab schon mit meinem "Standart" Antivieren Programm (Trend Micro OfficeScan) alles was möglich ist versucht ohne erfolg.
Bemerkbar macht sich der "Virus" duch ein Rotes "x" In der Systemleiste neben der Uhr. Alle paar sekunden Zeigt dieses ein Popup mit dem Inhalt:

Zitat:

Your computer is infected! Windows has detected spyware infection![...]

Von Trendmicro wird der Virus: "Cryp_Upack" erkannt. Kann aber weder gelöscht noch in Quarantäne verschoben werden.
Anhand der Logfileauswertung von "http://www.hijackthis.de" habe ich auch schon HijackThis arbeiten lassen aber dies bewirkte keinerlei Änderung.
Außerdem habe ich bereits anhand von ähnlichen Beiträgen versucht mit Ad-Aware das Problem in den Griff zubekommen aber leider auch hier keine Auswirkungen.
SpyBot - S&D lässt sich nicht starten.

Hier mal mein Logfile von HijackThis:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:23:25, on 05.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\NF5E27.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft IntelliPoint\dpupdchk.exe
C:\Dokumente und Einstellungen\*...*\Desktop\lol.com     
	Zitat:
	
	
		
			
				das ist die umbenannte HijackThis.exe
			
		
	
	
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe
O2 - BHO: {93d2afef-a5e4-f0eb-3d44-895f1b419091} - {190914b1-f598-44d3-be0f-4e5afefa2d39} - C:\WINDOWS\system32\xmvlki.dll
O2 - BHO: (no name) - {a23ca8a9-47d8-4db1-ae46-0aa018cc576e} - C:\WINDOWS\system32\rqRJBQGA.dll
O2 - BHO: (no name) - {fae1b125-656c-40ce-b4f4-b1eb001cf854} - C:\WINDOWS\system32\rqRICRiF.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [BM0b06cab7] Rundll32.exe "C:\WINDOWS\system32\vkhsjhnt.dll",s
O4 - HKLM\..\Run: [0835f92b] rundll32.exe "C:\WINDOWS\system32\egoajwds.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: nach microsoft &excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://s10socom/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - https://s10socom/officescan/console/ClientInstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://s10socom/officescan/console/ClientInstall/setup.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://s10socom/officescan/console/html/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://s10socom/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = socom.local
O17 - HKLM\Software\..\Telephony: DomainName = socom.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C45DBBA-C3D1-4136-9258-97F4036F3F55}: NameServer = 192.168.0.100,192.168.0.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = socom.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C45DBBA-C3D1-4136-9258-97F4036F3F55}: NameServer = 192.168.0.100,192.168.0.253
O20 - AppInit_DLLs: karina.dat
O20 - Winlogon Notify: rqrjbqga - C:\WINDOWS\SYSTEM32\rqRJBQGA.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\services.exe (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe

--
End of file - 6766 bytes

Chris4You · 05.08.2008, 08:41

Hi,

Bitte folgende Files prüfen:

Zitat:

C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\SYSTEM32\rqRJBQGA.dll
C:\WINDOWS\system32\egoajwds.dll
C:\WINDOWS\system32\xmvlki.dll
C:\WINDOWS\system32\Karin.dat
C:\WINDOWS\system32\rqRICRiF.dll

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Poste die Ergebnisse mit Filename!

Achtung: Alle Programme zuerst runterladen, MAM installieren & updaten, dann offline gehen
und das nachfolgende Abarbeiten (sonst laden sich die Viecher nach), eventuell Anweisung
ausdrucken!
Avenger, combofix und MAM downloaden...!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrjbqga

Registry values to replace with dummy: 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs 

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BM0b06cab7
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|0835f92b
 
Files to delete:
C:\WINDOWS\system32\drivers\services.exe
C:\WINDOWS\SYSTEM32\rqRJBQGA.dll
C:\WINDOWS\system32\egoajwds.dll
C:\WINDOWS\system32\xmvlki.dll
C:\WINDOWS\system32\rqRJBQGA.dll
C:\WINDOWS\system32\rqRICRiF.dll

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\services.exe (file missing)
O20 - AppInit_DLLs: karina.dat
O20 - Winlogon Notify: rqrjbqga - C:\WINDOWS\SYSTEM32\rqRJBQGA.dll
O4 - HKLM\..\Run: [BM0b06cab7] Rundll32.exe "C:\WINDOWS\system32\vkhsjhnt.dll",s
O4 - HKLM\..\Run: [0835f92b] rundll32.exe "C:\WINDOWS\system32\egoajwds.dll",b
O2 - BHO: {93d2afef-a5e4-f0eb-3d44-895f1b419091} - {190914b1-f598-44d3-be0f-4e5afefa2d39} - C:\WINDOWS\system32\xmvlki.dll
O2 - BHO: (no name) - {a23ca8a9-47d8-4db1-ae46-0aa018cc576e} - C:\WINDOWS\system32\rqRJBQGA.dll
O2 - BHO: (no name) - {fae1b125-656c-40ce-b4f4-b1eb001cf854} - C:\WINDOWS\system32\rqRICRiF.dll
C:\Dokumente und Einstellungen\*...*\Desktop\lol.com

Danach bitte Combofix und MAM;

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

MAM
Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/.

Poste die Logs und ein neues HJ-Log;

Chris

Smeagol45 · 05.08.2008, 09:42

Danke für die schnelle Antwort hier ersteinmal die Analysen der Dateien

Zitat:

Datei services.exe --> Ergebnis: 0/36 (0%)
C:\Windows\System32\drivers\services.exe

C:\Windows\System32\rqRJBQGA.dll
Datei rqRJBQGA.dll empfangen 2008.08.05 10:29:18 (CET)
Ergebnis: 16/36 (44.45%)
Antivirus Version letzte aktualisierung - Ergebnis
AhnLab-V3 2008.8.5.0 2008.08.05 -
AntiVir 7.8.1.15 2008.08.05 TR/Vundo.Gen
Authentium 5.1.0.4 2008.08.04 -
Avast 4.8.1195.0 2008.08.05 -
AVG 8.0.0.156 2008.08.05 Vundo.AD
BitDefender 7.2 2008.08.05 -
CAT-QuickHeal 9.50 2008.08.04 -
ClamAV 0.93.1 2008.08.05 -
DrWeb 4.44.0.09170 2008.08.05 -
eSafe 7.0.17.0 2008.08.05 Suspicious File
eTrust-Vet 31.6.6009 2008.08.05 -
Ewido 4.0 2008.08.04 -
F-Prot 4.4.4.56 2008.08.04 W32/Virtumonde.P.gen!Eldorado
F-Secure 7.60.13501.0 2008.08.05 Trojan.Win32.Monderb.cxa
Fortinet 3.14.0.0 2008.08.04 -
GData 2.0.7306.1023 2008.08.04 Trojan.Win32.Monderb.cxa
Ikarus T3.1.1.34.0 2008.08.05 Win32.Rigel.6468
K7AntiVirus 7.10.403 2008.08.04 -
Kaspersky 7.0.0.125 2008.08.05 Trojan.Win32.Monderb.cxa
McAfee 5353 2008.08.04 -
Microsoft 1.3807 2008.08.05 Trojan:Win32/Vundo.gen!P
NOD32v2 3327 2008.08.05 a variant of Win32/Adware.Virtumonde.NAQ
Norman 5.80.02 2008.08.04 W32/Vundo.DWS
Panda 9.0.0.4 2008.08.04 Suspicious file
PCTools 4.4.2.0 2008.08.04 -
Prevx1 V2 2008.08.05 Fraudulent Security Program
Rising 20.56.11.00 2008.08.05 -
Sophos 4.31.0 2008.08.05 -
Sunbelt 3.1.1537.1 2008.08.01 -
Symantec 10 2008.08.05 Trojan.Vundo
TheHacker 6.2.96.393 2008.08.04 -
TrendMicro 8.700.0.1004 2008.08.05 PAK_Generic.001
VBA32 3.12.8.2 2008.08.04 -
ViRobot 2008.8.4.1322 2008.08.04 -
VirusBuster 4.5.11.0 2008.08.04 -
Webwasher-Gateway 6.6.2 2008.08.05 Trojan.Vundo.Gen
-----------------------------------------------------------------------
C:\Windows\System32\Karin.dat
Datei karina.dat empfangen 2008.08.05 10:30:51 (CET)
Ergebnis: 30/36 (83.34%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.5.0 2008.08.05 Win-Trojan/Agent.6144.HK
AntiVir 7.8.1.15 2008.08.05 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.08.04 -
Avast 4.8.1195.0 2008.08.05 Win32:Trojan-gen {Other}
AVG 8.0.0.156 2008.08.05 Small
BitDefender 7.2 2008.08.05 Backdoor.Agent.ZQB
CAT-QuickHeal 9.50 2008.08.04 Backdoor.Small.ejx
ClamAV 0.93.1 2008.08.05 -
DrWeb 4.44.0.09170 2008.08.05 Trojan.Proxy.1739
eSafe 7.0.17.0 2008.08.05 -
eTrust-Vet 31.6.6009 2008.08.05 Win32/Eldycow.EL
Ewido 4.0 2008.08.04 -
F-Prot 4.4.4.56 2008.08.04 -
F-Secure 7.60.13501.0 2008.08.05 Backdoor.Win32.Small.eug
Fortinet 3.14.0.0 2008.08.04 PossibleThreat
GData 2.0.7306.1023 2008.08.04 Backdoor.Win32.Small.eug
Ikarus T3.1.1.34.0 2008.08.05 Trojan.Crypt.XPACK
K7AntiVirus 7.10.403 2008.08.04 Backdoor.Win32.Small.ejx
Kaspersky 7.0.0.125 2008.08.05 Backdoor.Win32.Small.eug
McAfee 5353 2008.08.04 Downloader.gen.a
Microsoft 1.3807 2008.08.05 TrojanDownloader:Win32/Eldycow.gen!A
NOD32v2 3327 2008.08.05 Win32/TrojanDownloader.Agent.OBD
Norman 5.80.02 2008.08.04 W32/Smalldoor.BZKQ
Panda 9.0.0.4 2008.08.04 Adware/WinAntispyware2008
PCTools 4.4.2.0 2008.08.04 Adware.Agent.ZO
Prevx1 V2 2008.08.05 Malicious Software
Rising 20.56.11.00 2008.08.05 -
Sophos 4.31.0 2008.08.05 Mal/TibsPak
Sunbelt 3.1.1537.1 2008.08.01 Backdoor.Win32.Small.eug
Symantec 10 2008.08.05 Trojan.Virantix.C
TheHacker 6.2.96.393 2008.08.04 Backdoor/Small.eug
TrendMicro 8.700.0.1004 2008.08.05 TROJ_AGENT.AEUM
VBA32 3.12.8.2 2008.08.04 Backdoor.Win32.Small.eug
ViRobot 2008.8.4.1322 2008.08.04 Backdoor.Win32.Small.6144.F
VirusBuster 4.5.11.0 2008.08.04 Adware.Bravia.Gen!Pac.2
Webwasher-Gateway 6.6.2 2008.08.05 Trojan.Crypt.XPACK.Gen

Zitat:

Die restlichen Dateien kann ich nicht mehr finden -.-

Jetzt geh ich ersteinmal offline und befolge deine weiteren Anweisungen

Sobald ich alles habe schreib ich die logs

---

Zitat:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\WINDOWS\system32\drivers\services.exe" not found!
Deletion of file "C:\WINDOWS\system32\drivers\services.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\SYSTEM32\rqRJBQGA.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\egoajwds.dll" not found!
Deletion of file "C:\WINDOWS\system32\egoajwds.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\xmvlki.dll" not found!
Deletion of file "C:\WINDOWS\system32\xmvlki.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\rqRJBQGA.dll" not found!
Deletion of file "C:\WINDOWS\system32\rqRJBQGA.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: file "C:\WINDOWS\system32\rqRICRiF.dll" not found!
Deletion of file "C:\WINDOWS\system32\rqRICRiF.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Warning: HKLM\Software did not load within MAX_WAIT_ITERATIONS

Error: registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrjbqga" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrjbqga" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: parent registry key for value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" not found!
Replacement with dummy of registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BM0b06cab7"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BM0b06cab7" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|0835f92b"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|0835f92b" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

ComboFix ist genial

kein symbol mehr!

Code:

ATTFilter

ComboFix 08-08-04.01 - sebastian.groemcke 2008-08-05 11:13:59.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.2549 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Desktop\ooo.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\drivers\beep.sys
C:\Dokumente und Einstellungen\admin\Startmenü\Programme\Autostart\userinit.exe
C:\Dokumente und Einstellungen\admin\svchost.exe
C:\Dokumente und Einstellungen\LocalService\svchost.exe
C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus 2009.lnk
C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\svchost.exe
C:\WINDOWS\BM0b06cab7.txt
C:\WINDOWS\BM0b06cab7.xml
C:\WINDOWS\buritos.exe
C:\WINDOWS\cookies.ini
C:\WINDOWS\karina.dat
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\5.tmp
C:\WINDOWS\system32\6.tmp
C:\WINDOWS\system32\7.tmp
C:\WINDOWS\system32\awtTliFY.dll
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\buritos.exe
C:\WINDOWS\system32\ciphewwi.dll
C:\WINDOWS\system32\dfgzpy.dll
C:\WINDOWS\system32\dflgh8jkd2q8.exe
C:\WINDOWS\system32\euuoqfwd.dll
C:\WINDOWS\system32\exuovxck.dll
C:\WINDOWS\system32\FiRCIRqr.ini
C:\WINDOWS\system32\FiRCIRqr.ini2
C:\WINDOWS\system32\fkrbpsrf.ini
C:\WINDOWS\system32\frspbrkf.dll
C:\WINDOWS\system32\ftqkzt.dll
C:\WINDOWS\system32\juhyes.dll
C:\WINDOWS\system32\karina.dat
C:\WINDOWS\system32\kcuojn.dll
C:\WINDOWS\system32\kcxvouxe.ini
C:\WINDOWS\system32\kgilodff.dll
C:\WINDOWS\system32\kvnoyeiv.dll
C:\WINDOWS\system32\lphcaptj0ea45.exe
C:\WINDOWS\system32\lsivhads.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\odqcdwqs.dll
C:\WINDOWS\system32\oflsjf.dll
C:\WINDOWS\system32\ompmhyla.ini
C:\WINDOWS\system32\phcaptj0ea45.bmp
C:\WINDOWS\system32\pphcaptj0ea45.exe
C:\WINDOWS\system32\qegvexms.dll
C:\WINDOWS\system32\qoMgdDTn.dll
C:\WINDOWS\system32\sdahvisl.ini
C:\WINDOWS\system32\sdwjaoge.ini
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\WEMmWvut.ini
C:\WINDOWS\system32\WEMmWvut.ini2
C:\WINDOWS\system32\winds32.exe
C:\WINDOWS\system32\wymobxmo.dll
C:\WINDOWS\system32\xiysljhs.dll
C:\WINDOWS\system32\YFilTtwa.ini
C:\WINDOWS\system32\YFilTtwa.ini2

.
(((((((((((((((((((((((   Dateien erstellt von 2008-07-05 bis 2008-08-05  ))))))))))))))))))))))))))))))
.

2008-08-05 10:53 . 2008-08-05 10:53	135,168	--a------	C:\zip.exe
2008-08-05 10:53 . 2008-08-05 10:53	19,286	--a------	C:\cleanup.exe
2008-08-05 10:53 . 2008-08-05 10:53	2,021	--a------	C:\backup.reg
2008-08-05 10:53 . 2008-08-05 10:53	574	--a------	C:\cleanup.bat
2008-08-05 10:52 . 2008-08-05 10:52	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-05 10:52 . 2008-08-05 10:52	<DIR>	d--------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Anwendungsdaten\Malwarebytes
2008-08-05 10:52 . 2008-08-05 10:52	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-05 10:52 . 2008-07-30 20:07	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-05 10:52 . 2008-07-30 20:07	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-08-05 10:02 . 2008-08-05 10:02	<DIR>	d--------	C:\savwsa
2008-08-05 09:59 . 2008-08-05 10:00	<DIR>	d--------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Anwendungsdaten\U3
2008-08-05 09:58 . 2008-08-05 09:58	2,048	--a------	C:\WINDOWS\system32\dcexdjel.exe
2008-08-05 08:07 . 2008-08-05 08:07	102,400	---------	C:\WINDOWS\system32\fqifplag.mro
2008-08-05 08:01 . 2008-08-05 08:01	82,944	---------	C:\WINDOWS\system32\eoctknas.bej
2008-08-05 07:59 . 2008-08-05 07:59	92,672	---------	C:\WINDOWS\system32\lijqcaia.xpq
2008-08-05 07:58 . 2008-08-05 07:58	282,624	---------	C:\WINDOWS\system32\vmbsewim.mim
2008-08-04 16:32 . 2008-08-04 16:32	<DIR>	d--------	C:\WINDOWS\system32\Kaspersky Lab
2008-08-04 16:32 . 2008-08-04 16:32	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-04 14:27 . 2008-08-04 14:29	<DIR>	dr-------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Eigene Dateien
2008-08-04 14:24 . 2007-09-27 13:12	<DIR>	d--h-----	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Vorlagen
2008-08-04 14:24 . 2008-08-05 08:54	<DIR>	dr-------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Startmen
2008-08-04 14:24 . 2007-09-27 14:03	<DIR>	d--h-----	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Netzwerkumgebung
2008-08-04 14:24 . 2007-09-27 14:03	<DIR>	d--h-----	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Lokale Einstellungen
2008-08-04 14:24 . 2008-08-04 14:29	<DIR>	dr-------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Favoriten
2008-08-04 14:24 . 2007-09-27 14:03	<DIR>	d--h-----	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Druckumgebung
2008-08-04 14:24 . 2008-08-05 10:04	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Anwendungsdaten
2008-08-04 14:24 . 2008-08-05 11:16	<DIR>	d--------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM
2008-08-04 13:57 . 2008-08-04 13:59	<DIR>	d--------	C:\LOL
2008-08-04 13:16 . 2008-08-04 13:46	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-08-04 13:16 . 2008-08-04 13:46	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-04 13:15 . 2008-08-04 13:15	<DIR>	d--------	C:\Programme\Lavasoft
2008-08-04 13:15 . 2008-08-04 13:17	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-04 13:13 . 2008-08-04 13:13	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-04 13:07 . 2008-08-04 13:11	<DIR>	d--------	C:\Programme\ClearProg
2008-08-04 12:48 . 2008-08-04 12:42	102,664	--a------	C:\WINDOWS\system32\drivers\tmcomm.sys
2008-08-04 12:46 . 2008-08-04 12:46	49	--a------	C:\OfcDebug.ini
2008-08-04 11:51 . 2008-08-04 11:51	283,136	---------	C:\WINDOWS\system32\wzyvxtdy.alt
2008-08-04 11:46 . 2008-08-04 11:46	<DIR>	d--------	C:\Dokumente und Einstellungen\admin\Startmen
2008-08-04 11:46 . 2008-08-04 11:58	<DIR>	d--h-----	C:\Dokumente und Einstellungen\admin\Lokale Einstellungen
2008-08-04 11:46 . 2008-08-04 11:46	<DIR>	dr-------	C:\Dokumente und Einstellungen\admin\Favoriten
2008-08-04 11:46 . 2008-08-04 11:46	<DIR>	dr-------	C:\Dokumente und Einstellungen\admin\Eigene Dateien
2008-08-04 11:46 . 2008-08-04 12:30	<DIR>	d--------	C:\Dokumente und Einstellungen\admin\Anwendungsdaten
2008-08-04 11:10 . 2008-08-05 11:21	111,216	--a------	C:\WINDOWS\system32\drivers\b0b42932.sys
2008-08-04 08:02 . 2003-07-12 12:35	16,104	--a------	C:\WINDOWS\system32\mapisvc.inf.bak
2008-08-04 07:30 . 2008-08-04 08:48	16,104	--a------	C:\WINDOWS\system32\mapisvc.inf
2008-08-04 07:29 . 2008-08-04 07:29	<DIR>	d--------	C:\Programme\Ontrack
2008-08-01 08:54 . 2008-08-01 17:42	<DIR>	d--------	C:\Programme\mIRC

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-04 12:04	---------	d-----w	C:\Programme\Trend Micro
2008-08-04 05:30	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-01 14:36	---------	d-----w	C:\Programme\Mozilla Thunderbird
2008-07-31 05:59	---------	d-----w	C:\Programme\Trillian
2008-06-20 10:45	360,320	----a-w	C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44	138,368	----a-w	C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52	225,920	----a-w	C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-17 20:50	---------	d-----w	C:\Programme\TIKOS
2008-06-14 17:57	273,024	------w	C:\WINDOWS\system32\drivers\bthport.sys
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2002-12-09 17:06 1511696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-02-24 01:32 5537792]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-02-24 01:32 86016]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 13:01 1037736]
"OfficeScanNT Monitor"="C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" [2006-04-03 15:05 356352]
"itype"="C:\Programme\Microsoft IntelliType Pro\itype.exe" [2006-11-21 17:08 813912]
"RTHDCPL"="RTHDCPL.EXE" [2005-04-26 08:16 14370816 C:\WINDOWS\RTHDCPL.EXE]
"nwiz"="nwiz.exe" [2005-02-24 01:32 1495040 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"\\\\s11socom\\mitarbeiter\\Hilt\\prgSS.exe"=
"C:\\Programme\\TIKOS\\TIKOS.EXE"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\TIKOS\\Rechtest.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R3 SSLDrv;Virtual Passage SSLDrv Adapter;C:\WINDOWS\system32\DRIVERS\SSLDrv.sys [2007-06-08 16:11]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e9763b67-b498-11dc-97d0-0015f2515f63}]
\shell\autorun\command - F:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2008-08-01 C:\WINDOWS\Tasks\prgSS.job
- L:\Hilt\prgSS.exe []

2008-08-01 C:\WINDOWS\Tasks\TimeStamp.job
- B:\Zeiterfassung\TimeStamp.exe []
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-BM0b06cab7 - C:\WINDOWS\system32\wymobxmo.dll
ShellExecuteHooks-{A23CA8A9-47D8-4DB1-AE46-0AA018CC576E} - C:\WINDOWS\system32\rqRJBQGA.dll
Notify-WgaLogon - (no file)


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Anwendungsdaten\Mozilla\Firefox\Profiles\ljev7b67.default\
FF -: plugin - C:\Programme\Microsoft Silverlight\npctrl.1.0.20926.0.dll
FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-05 11:20:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\Trend Micro\OfficeScan Client\NTRtScan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Trend Micro\OfficeScan Client\TmListen.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\temp\FU3062.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft IntelliPoint\dpupdchk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-05 11:23:03 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-08-05 09:22:57

Pre-Run: 9 Verzeichnis(se), 52,181,463,040 Bytes frei
Post-Run: 11 Verzeichnis(se), 52,096,139,264 Bytes frei

215	--- E O F ---	2008-07-09 05:35:10

Ich lass jetzt noch MAM durchlaufen aber aktuell läuft alles super ohne Virusmeldung

Danke

Chris4You · 05.08.2008, 10:14

Hi,

mist, die Viecher haben Avenger erkannt uns versuchen die Bereinigung zu blokieren...

Da hoffen wir mal auf Combofix und MAM...

Unbedingt bei der Bereinigung Offline bleiben...

chris

Smeagol45 · 05.08.2008, 11:54

DANKE

Alles läuft wieder super und jetzt endlich auch wieder schnell hab alles noch durchlaufen lassen d.h. MAM durchlaufen lassen der hat nix mehr gefunden *freu*

Zitat:

Neuster HijackThis.log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:50, on 2008-08-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\FU3062.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Desktop\lol.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://s10socom/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - https://s10socom/officescan/console/ClientInstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://s10socom/officescan/console/ClientInstall/setup.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://s10socom/officescan/console/html/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://s10socom/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = socom.local
O17 - HKLM\Software\..\Telephony: DomainName = socom.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C45DBBA-C3D1-4136-9258-97F4036F3F55}: NameServer = 192.168.0.100,192.168.0.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = socom.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C45DBBA-C3D1-4136-9258-97F4036F3F55}: NameServer = 192.168.0.100,192.168.0.253
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (file missing)
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe

--
End of file - 5098 bytes

DANKE

Chris4You · 05.08.2008, 12:04

Hi,

HALT
noch ist der Krieg nicht gewonnen, ComboFix zeigt da noch was an (HJ auch):

Diese Files sind suspekt:

Code:

ATTFilter

C:\WINDOWS\system32\dcexdjel.exe
C:\WINDOWS\system32\fqifplag.mro
C:\WINDOWS\system32\eoctknas.bej
C:\WINDOWS\system32\lijqcaia.xpq
C:\WINDOWS\system32\vmbsewim.mim
C:\WINDOWS\system32\drivers\b0b42932.sys
C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Desktop\lol.com

Online bitte nochmal prüfen (virustotal);
Poste das Ergebnis mit Filename ggf. müssen wir sie "killen"...

chris

Smeagol45 · 05.08.2008, 12:43

würd ich wohl ma sagen da hab ich mich zu früh gefreut

Wie kann ich die Killen?

Code:

ATTFilter

C:\WINDOWS\system32\dcexdjel.exe
Datei dcexdjel.exe empfangen 2008.08.05 13:30:01 (CET)
Ergebnis: 1/36 (2.78%)
Prevx1	V2	2008.08.05	Malicious Software

Code:

ATTFilter

C:\WINDOWS\system32\fqifplag.mro
Datei fqifplag.mro empfangen 2008.08.05 13:30:32 (CET)
Ergebnis: 12/36 (33.34%)
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AntiVir	7.8.1.15	2008.08.05	TR/Vundo.Gen
AVG	8.0.0.156	2008.08.05	Generic11.EZQ
eSafe	7.0.17.0	2008.08.05	Suspicious File
F-Prot	4.4.4.56	2008.08.04	W32/Virtumonde.P.gen!Eldorado
F-Secure	7.60.13501.0	2008.08.05	AdWare.Win32.SuperJuan.cdc
Ikarus	T3.1.1.34.0	2008.08.05	Win32.Rigel.6468
Kaspersky	7.0.0.125	2008.08.05	not-a-virus:AdWare.Win32.SuperJuan.cdc
NOD32v2	3327	2008.08.05	a variant of Win32/Adware.Virtumonde.NAQ
Panda	9.0.0.4	2008.08.04	Suspicious file
Prevx1	V2	2008.08.05	Fraudulent Security Program
TrendMicro	8.700.0.1004	2008.08.05	PAK_Generic.001
Webwasher-Gateway	6.6.2	2008.08.05	Trojan.Vundo.Gen

Code:

ATTFilter

C:\WINDOWS\system32\eoctknas.bej
Datei eoctknas.bej empfangen 2008.08.05 13:31:03 (CET)
Ergebnis: 13/36 (36.12%)
AntiVir	7.8.1.15	2008.08.05	TR/Vundo.Gen
AVG	8.0.0.156	2008.08.05	Generic11.EXE
eSafe	7.0.17.0	2008.08.05	Suspicious File
F-Prot	4.4.4.56	2008.08.04	W32/Virtumonde.P.gen!Eldorado
F-Secure	7.60.13501.0	2008.08.05	Trojan.Win32.Monder.cwg
GData	2.0.7306.1023	2008.08.05	Trojan.Win32.Monder.cwg
Ikarus	T3.1.1.34.0	2008.08.05	Win32.Rigel.6468
Kaspersky	7.0.0.125	2008.08.05	Trojan.Win32.Monder.cwg
NOD32v2	3328	2008.08.05	a variant of Win32/Adware.Virtumonde.NAQ
Panda	9.0.0.4	2008.08.04	Suspicious file
Prevx1	V2	2008.08.05	Fraudulent Security Program
TrendMicro	8.700.0.1004	2008.08.05	PAK_Generic.001
Webwasher-Gateway	6.6.2	2008.08.05	Trojan.Vundo.Gen

Code:

ATTFilter

C:\WINDOWS\system32\lijqcaia.xpq
Datei lijqcaia.xpq empfangen 2008.08.05 13:36:03 (CET)
Ergebnis: 10/36 (27.78%)
AntiVir	7.8.1.15	2008.08.05	TR/Vundo.Gen
AVG	8.0.0.156	2008.08.05	Generic11.EXJ
eSafe	7.0.17.0	2008.08.05	Suspicious File
F-Prot	4.4.4.56	2008.08.04	W32/Virtumonde.P.gen!Eldorado
Ikarus	T3.1.1.34.0	2008.08.05	Win32.Rigel.6468
NOD32v2	3328	2008.08.05	a variant of Win32/Adware.Virtumonde.NAQ
Panda	9.0.0.4	2008.08.04	Suspicious file
Prevx1	V2	2008.08.05	Fraudulent Security Program
TrendMicro	8.700.0.1004	2008.08.05	PAK_Generic.001
Webwasher-Gateway	6.6.2	2008.08.05	Trojan.Vundo.Gen

Code:

ATTFilter

C:\WINDOWS\system32\vmbsewim.mim
Datei vmbsewim.mim empfangen 2008.08.05 13:36:57 (CET)
Ergebnis: 14/36 (38.89%)
AntiVir	7.8.1.15	2008.08.05	TR/Vundo.Gen
AVG	8.0.0.156	2008.08.05	Generic11.EYS
DrWeb	4.44.0.09170	2008.08.05	Trojan.Virtumod.441
eSafe	7.0.17.0	2008.08.05	Suspicious File
F-Prot	4.4.4.56	2008.08.04	W32/Virtumonde.P.gen!Eldorado
F-Secure	7.60.13501.0	2008.08.05	Trojan.Win32.Monder.cyh
GData	2.0.7306.1023	2008.08.05	Trojan.Win32.Monder.cyh
Ikarus	T3.1.1.34.0	2008.08.05	Win32.Rigel.6468
Kaspersky	7.0.0.125	2008.08.05	Trojan.Win32.Monder.cyh
NOD32v2	3328	2008.08.05	a variant of Win32/Adware.Virtumonde.NAQ
Norman	5.80.02	2008.08.05	Vundo.gen212
Panda	9.0.0.4	2008.08.04	Suspicious file
Prevx1	V2	2008.08.05	Fraudulent Security Program
Webwasher-Gateway	6.6.2	2008.08.05	Trojan.Vundo.Gen

Code:

ATTFilter

C:\WINDOWS\system32\drivers\b0b42932.sys
Fehlermeldung bei VirusTotal --> 
	Zitat:
	
	
		
			
				0 bytes size received / Se ha recibido un archivo vacio

Zitat:

C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Desktop\lol.com = Umbenannte hijackthis.exe da diese Blockiert wurde vom Virus...

Chris4You · 05.08.2008, 13:46

Hi,

combofix scripten:

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

File::
C:\WINDOWS\system32\dcexdjel.exe
C:\WINDOWS\system32\fqifplag.mro
C:\WINDOWS\system32\eoctknas.bej
C:\WINDOWS\system32\lijqcaia.xpq
C:\WINDOWS\system32\vmbsewim.mim
C:\WINDOWS\system32\drivers\b0b42932.sys

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

ACHTUNG: Bin nur noch kurz da, dann bin ich zwei Tage unterwegs, bitte ein anderer ggf. übernehmen...

chris

Smeagol45 · 05.08.2008, 14:29

Code:

ATTFilter

ComboFix 08-08-04.05 - sebastian.groemcke 2008-08-05 15:20:30.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.2485 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\b0b42932.sys

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_b0b42932


(((((((((((((((((((((((   Dateien erstellt von 2008-07-05 bis 2008-08-05  ))))))))))))))))))))))))))))))
.

2008-08-05 15:09 . 2008-08-05 15:09	<DIR>	d--------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Archiv
2008-08-05 14:33 . 2008-08-05 14:33	<DIR>	d--------	C:\Programme\Microsoft IntelliType Pro
2008-08-05 14:29 . 2008-08-05 14:29	<DIR>	d--------	C:\Programme\Microsoft IntelliPoint
2008-08-05 14:29 . 2007-08-21 01:13	21,760	--a------	C:\WINDOWS\system32\drivers\point32.sys
2008-08-05 14:13 . 2008-08-05 14:13	<DIR>	d--h-----	C:\WINDOWS\PIF
2008-08-05 11:40 . 2008-08-05 11:43	<DIR>	d--------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\.gimp-2.4
2008-08-05 11:35 . 2008-08-05 11:35	7,680	--ahs----	C:\WINDOWS\Thumbs.db
2008-08-05 10:53 . 2008-08-05 10:53	135,168	--a------	C:\zip.exe
2008-08-05 10:53 . 2008-08-05 10:53	19,286	--a------	C:\cleanup.exe
2008-08-05 10:53 . 2008-08-05 10:53	574	--a------	C:\cleanup.bat
2008-08-05 10:52 . 2008-08-05 10:52	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-05 10:52 . 2008-08-05 10:52	<DIR>	d--------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Anwendungsdaten\Malwarebytes
2008-08-05 10:52 . 2008-08-05 10:52	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-05 10:52 . 2008-07-30 20:07	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-05 10:52 . 2008-07-30 20:07	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-08-05 09:59 . 2008-08-05 10:00	<DIR>	d--------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Anwendungsdaten\U3
2008-08-05 09:58 . 2008-08-05 09:58	2,048	--a------	C:\WINDOWS\system32\dcexdjel.exe
2008-08-05 08:07 . 2008-08-05 08:07	102,400	---------	C:\WINDOWS\system32\fqifplag.mro
2008-08-05 08:01 . 2008-08-05 08:01	82,944	---------	C:\WINDOWS\system32\eoctknas.bej
2008-08-05 07:59 . 2008-08-05 07:59	92,672	---------	C:\WINDOWS\system32\lijqcaia.xpq
2008-08-05 07:58 . 2008-08-05 07:58	282,624	---------	C:\WINDOWS\system32\vmbsewim.mim
2008-08-04 14:27 . 2008-08-05 13:21	<DIR>	dr-------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Eigene Dateien
2008-08-04 14:24 . 2007-09-27 13:12	<DIR>	d--h-----	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Vorlagen
2008-08-04 14:24 . 2008-08-05 08:54	<DIR>	dr-------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Startmen
2008-08-04 14:24 . 2007-09-27 14:03	<DIR>	d--h-----	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Netzwerkumgebung
2008-08-04 14:24 . 2008-08-05 11:52	<DIR>	d--h-----	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Lokale Einstellungen
2008-08-04 14:24 . 2008-08-04 14:29	<DIR>	dr-------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Favoriten
2008-08-04 14:24 . 2007-09-27 14:03	<DIR>	d--h-----	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Druckumgebung
2008-08-04 14:24 . 2008-08-05 12:39	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Anwendungsdaten
2008-08-04 14:24 . 2008-08-05 15:09	<DIR>	d--------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM
2008-08-04 13:16 . 2008-08-05 11:34	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-04 13:15 . 2008-08-04 13:17	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-04 13:13 . 2008-08-04 13:13	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-04 12:48 . 2008-08-04 12:42	102,664	--a------	C:\WINDOWS\system32\drivers\tmcomm.sys
2008-08-04 12:46 . 2008-08-04 12:46	49	--a------	C:\OfcDebug.ini
2008-08-04 11:51 . 2008-08-04 11:51	283,136	---------	C:\WINDOWS\system32\wzyvxtdy.alt
2008-08-04 11:46 . 2008-08-04 11:46	<DIR>	d--------	C:\Dokumente und Einstellungen\admin\Startmen
2008-08-04 11:46 . 2008-08-05 11:23	<DIR>	d--h-----	C:\Dokumente und Einstellungen\admin\Lokale Einstellungen
2008-08-04 11:46 . 2008-08-04 11:46	<DIR>	dr-------	C:\Dokumente und Einstellungen\admin\Favoriten
2008-08-04 11:46 . 2008-08-04 11:46	<DIR>	dr-------	C:\Dokumente und Einstellungen\admin\Eigene Dateien
2008-08-04 11:46 . 2008-08-04 12:30	<DIR>	d--------	C:\Dokumente und Einstellungen\admin\Anwendungsdaten
2008-08-04 08:02 . 2003-07-12 12:35	16,104	--a------	C:\WINDOWS\system32\mapisvc.inf.bak
2008-08-04 07:30 . 2008-08-04 08:48	16,104	--a------	C:\WINDOWS\system32\mapisvc.inf
2008-08-04 07:29 . 2008-08-04 07:29	<DIR>	d--------	C:\Programme\Ontrack
2008-08-01 08:54 . 2008-08-05 13:51	<DIR>	d--------	C:\Programme\mIRC

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-05 12:50	---------	d-----w	C:\Programme\Trillian
2008-08-05 12:24	---------	d-----w	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Anwendungsdaten\mIRC
2008-08-04 12:04	---------	d-----w	C:\Programme\Trend Micro
2008-08-04 05:30	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-01 14:36	---------	d-----w	C:\Programme\Mozilla Thunderbird
2008-07-15 15:18	---------	d-----w	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Anwendungsdaten\gtk-2.0
2008-06-20 10:45	360,320	----a-w	C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44	138,368	----a-w	C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52	225,920	----a-w	C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-17 20:50	---------	d-----w	C:\Programme\TIKOS
2008-06-14 17:57	273,024	------w	C:\WINDOWS\system32\drivers\bthport.sys
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2002-12-09 17:06 1511696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-02-24 01:32 5537792]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-02-24 01:32 86016]
"OfficeScanNT Monitor"="C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" [2006-04-03 15:05 356352]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 12:01 1037736]
"itype"="C:\Programme\Microsoft IntelliType Pro\itype.exe" [2007-08-31 12:13 988584]
"RTHDCPL"="RTHDCPL.EXE" [2005-04-26 08:16 14370816 C:\WINDOWS\RTHDCPL.EXE]
"nwiz"="nwiz.exe" [2005-02-24 01:32 1495040 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"\\\\s11socom\\mitarbeiter\\Hilt\\prgSS.exe"=
"C:\\Programme\\TIKOS\\TIKOS.EXE"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\TIKOS\\Rechtest.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R3 SSLDrv;Virtual Passage SSLDrv Adapter;C:\WINDOWS\system32\DRIVERS\SSLDrv.sys [2007-06-08 16:11]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e9763b67-b498-11dc-97d0-0015f2515f63}]
\shell\autorun\command - F:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2008-08-05 C:\WINDOWS\Tasks\prgSS.job
- L:\Hilt\prgSS.exe [2008-01-17 13:29]

2008-08-01 C:\WINDOWS\Tasks\TimeStamp.job
- B:\Zeiterfassung\TimeStamp.exe [2008-07-30 11:14]
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-05 15:25:06
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\Trend Micro\OfficeScan Client\NTRtScan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Programme\Trend Micro\OfficeScan Client\TmListen.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\temp\SO4FFB.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft IntelliPoint\dpupdchk.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-05 15:27:32 - PC wurde neu gestartet [sebastian.groemcke]
ComboFix-quarantined-files.txt  2008-08-05 13:27:25
ComboFix2.txt  2008-08-05 09:23:04

Pre-Run: 6 Verzeichnis(se), 51,392,049,152 Bytes frei
Post-Run: 9 Verzeichnis(se), 51,410,362,368 Bytes frei

156	--- E O F ---	2008-07-09 05:35:10

DANKE

Zitat:

Neuer HijackThis Log

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:29, on 2008-08-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\SO4FFB.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft IntelliPoint\dpupdchk.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Eigene Dateien\Ink\lol.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://s10socom/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - https://s10socom/officescan/console/ClientInstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://s10socom/officescan/console/ClientInstall/setup.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://s10socom/officescan/console/html/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://s10socom/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = socom.local
O17 - HKLM\Software\..\Telephony: DomainName = socom.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C45DBBA-C3D1-4136-9258-97F4036F3F55}: NameServer = 192.168.0.100,192.168.0.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = socom.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C45DBBA-C3D1-4136-9258-97F4036F3F55}: NameServer = 192.168.0.100,192.168.0.253
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (file missing)
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe

--
End of file - 5558 bytes

Chris4You · 05.08.2008, 14:36

Hi,

im Script ist mir ein Fehler unterlaufen, bitte noch mal laufen lassen
(da hat ein File:: gefehlt)

chris

Smeagol45 · 05.08.2008, 14:49

Hi,

Nee des war mein Fehler.

So ich habs nochmal richtig aus geführt und dann sieht das log so aus:

Code:

ATTFilter

ComboFix 08-08-04.05 - sebastian.groemcke 2008-08-05 15:45:30.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.2590 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((   Dateien erstellt von 2008-07-05 bis 2008-08-05  ))))))))))))))))))))))))))))))
.

2008-08-05 15:09 . 2008-08-05 15:09	<DIR>	d--------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Archiv
2008-08-05 14:33 . 2008-08-05 14:33	<DIR>	d--------	C:\Programme\Microsoft IntelliType Pro
2008-08-05 14:29 . 2008-08-05 14:29	<DIR>	d--------	C:\Programme\Microsoft IntelliPoint
2008-08-05 14:29 . 2007-08-21 01:13	21,760	--a------	C:\WINDOWS\system32\drivers\point32.sys
2008-08-05 14:13 . 2008-08-05 14:13	<DIR>	d--h-----	C:\WINDOWS\PIF
2008-08-05 11:40 . 2008-08-05 11:43	<DIR>	d--------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\.gimp-2.4
2008-08-05 11:35 . 2008-08-05 11:35	7,680	--ahs----	C:\WINDOWS\Thumbs.db
2008-08-05 10:53 . 2008-08-05 10:53	135,168	--a------	C:\zip.exe
2008-08-05 10:53 . 2008-08-05 10:53	19,286	--a------	C:\cleanup.exe
2008-08-05 10:53 . 2008-08-05 10:53	574	--a------	C:\cleanup.bat
2008-08-05 10:52 . 2008-08-05 10:52	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-05 10:52 . 2008-08-05 10:52	<DIR>	d--------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Anwendungsdaten\Malwarebytes
2008-08-05 10:52 . 2008-08-05 10:52	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-05 10:52 . 2008-07-30 20:07	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-05 10:52 . 2008-07-30 20:07	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-08-05 09:59 . 2008-08-05 10:00	<DIR>	d--------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Anwendungsdaten\U3
2008-08-05 09:58 . 2008-08-05 09:58	2,048	--a------	C:\WINDOWS\system32\dcexdjel.exe
2008-08-05 08:07 . 2008-08-05 08:07	102,400	---------	C:\WINDOWS\system32\fqifplag.mro
2008-08-05 08:01 . 2008-08-05 08:01	82,944	---------	C:\WINDOWS\system32\eoctknas.bej
2008-08-05 07:59 . 2008-08-05 07:59	92,672	---------	C:\WINDOWS\system32\lijqcaia.xpq
2008-08-05 07:58 . 2008-08-05 07:58	282,624	---------	C:\WINDOWS\system32\vmbsewim.mim
2008-08-04 14:27 . 2008-08-05 13:21	<DIR>	dr-------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Eigene Dateien
2008-08-04 14:24 . 2007-09-27 13:12	<DIR>	d--h-----	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Vorlagen
2008-08-04 14:24 . 2008-08-05 08:54	<DIR>	dr-------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Startmenü
2008-08-04 14:24 . 2007-09-27 14:03	<DIR>	d--h-----	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Netzwerkumgebung
2008-08-04 14:24 . 2008-08-05 15:46	<DIR>	d--h-----	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Lokale Einstellungen
2008-08-04 14:24 . 2008-08-04 14:29	<DIR>	dr-------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Favoriten
2008-08-04 14:24 . 2007-09-27 14:03	<DIR>	d--h-----	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Druckumgebung
2008-08-04 14:24 . 2008-08-05 12:39	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Anwendungsdaten
2008-08-04 14:24 . 2008-08-05 15:09	<DIR>	d--------	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM
2008-08-04 13:16 . 2008-08-05 11:34	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-04 13:15 . 2008-08-04 13:17	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-04 13:13 . 2008-08-04 13:13	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-04 12:48 . 2008-08-04 12:42	102,664	--a------	C:\WINDOWS\system32\drivers\tmcomm.sys
2008-08-04 12:46 . 2008-08-04 12:46	49	--a------	C:\OfcDebug.ini
2008-08-04 11:51 . 2008-08-04 11:51	283,136	---------	C:\WINDOWS\system32\wzyvxtdy.alt
2008-08-04 11:46 . 2008-08-04 11:46	<DIR>	d--------	C:\Dokumente und Einstellungen\admin\Startmenü
2008-08-04 11:46 . 2008-08-05 15:46	<DIR>	d--h-----	C:\Dokumente und Einstellungen\admin\Lokale Einstellungen
2008-08-04 11:46 . 2008-08-04 11:46	<DIR>	dr-------	C:\Dokumente und Einstellungen\admin\Favoriten
2008-08-04 11:46 . 2008-08-04 11:46	<DIR>	dr-------	C:\Dokumente und Einstellungen\admin\Eigene Dateien
2008-08-04 11:46 . 2008-08-04 12:30	<DIR>	d--------	C:\Dokumente und Einstellungen\admin\Anwendungsdaten
2008-08-04 08:02 . 2003-07-12 12:35	16,104	--a------	C:\WINDOWS\system32\mapisvc.inf.bak
2008-08-04 07:30 . 2008-08-04 08:48	16,104	--a------	C:\WINDOWS\system32\mapisvc.inf
2008-08-04 07:29 . 2008-08-04 07:29	<DIR>	d--------	C:\Programme\Ontrack
2008-08-01 08:54 . 2008-08-05 13:51	<DIR>	d--------	C:\Programme\mIRC

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-05 12:50	---------	d-----w	C:\Programme\Trillian
2008-08-05 12:24	---------	d-----w	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Anwendungsdaten\mIRC
2008-08-04 12:04	---------	d-----w	C:\Programme\Trend Micro
2008-08-04 05:30	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-01 14:36	---------	d-----w	C:\Programme\Mozilla Thunderbird
2008-07-15 15:18	---------	d-----w	C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Anwendungsdaten\gtk-2.0
2008-06-20 17:39	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45	360,320	----a-w	C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44	138,368	----a-w	C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52	225,920	----a-w	C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-17 20:50	---------	d-----w	C:\Programme\TIKOS
2008-06-14 17:57	273,024	------w	C:\WINDOWS\system32\drivers\bthport.sys
2008-05-16 09:58	12,632	----a-w	C:\WINDOWS\system32\lsdelete.exe
2008-05-07 05:14	1,293,312	----a-w	C:\WINDOWS\system32\quartz.dll
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2002-12-09 17:06 1511696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-02-24 01:32 5537792]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-02-24 01:32 86016]
"OfficeScanNT Monitor"="C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" [2006-04-03 15:05 356352]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 12:01 1037736]
"itype"="C:\Programme\Microsoft IntelliType Pro\itype.exe" [2007-08-31 12:13 988584]
"RTHDCPL"="RTHDCPL.EXE" [2005-04-26 08:16 14370816 C:\WINDOWS\RTHDCPL.EXE]
"nwiz"="nwiz.exe" [2005-02-24 01:32 1495040 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"\\\\s11socom\\mitarbeiter\\Hilt\\prgSS.exe"=
"C:\\Programme\\TIKOS\\TIKOS.EXE"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\TIKOS\\Rechtest.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R3 SSLDrv;Virtual Passage SSLDrv Adapter;C:\WINDOWS\system32\DRIVERS\SSLDrv.sys [2007-06-08 16:11]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e9763b67-b498-11dc-97d0-0015f2515f63}]
\shell\autorun\command - F:\LaunchU3.exe -a

*Newly Created Service* - catchme
.
Inhalt des "geplante Tasks" Ordners

2008-08-05 C:\WINDOWS\Tasks\prgSS.job
- L:\Hilt\prgSS.exe [2008-01-17 13:29]

2008-08-01 C:\WINDOWS\Tasks\TimeStamp.job
- B:\Zeiterfassung\TimeStamp.exe [2008-07-30 11:14]
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-05 15:46:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-05 15:46:51
ComboFix-quarantined-files.txt  2008-08-05 13:46:45
ComboFix2.txt  2008-08-05 13:27:33
ComboFix3.txt  2008-08-05 09:23:04

Pre-Run: 6 Verzeichnis(se), 51,387,719,680 Bytes frei
Post-Run: 9 Verzeichnis(se), 51,376,566,272 Bytes frei

138	--- E O F ---	2008-07-09 05:35:10

und nochmal danke

HijackThis log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:51, on 2008-08-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Eigene Dateien\Ink\lol.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://s10socom/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - https://s10socom/officescan/console/ClientInstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://s10socom/officescan/console/ClientInstall/setup.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://s10socom/officescan/console/html/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://s10socom/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = socom.local
O17 - HKLM\Software\..\Telephony: DomainName = socom.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C45DBBA-C3D1-4136-9258-97F4036F3F55}: NameServer = 192.168.0.100,192.168.0.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = socom.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C45DBBA-C3D1-4136-9258-97F4036F3F55}: NameServer = 192.168.0.100,192.168.0.253
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (file missing)
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe

--
End of file - 5094 bytes

Chris4You · 05.08.2008, 19:09

Hi,

ich werde zum Elch, die Dinger sind noch da:
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
Download: http://www.bleepingcomputer.com/files/killbox.php

Options: Delete on Reboot --> anhaken
reinkopieren:
C:\WINDOWS\system32\dcexdjel.exe
C:\WINDOWS\system32\fqifplag.mro
C:\WINDOWS\system32\eoctknas.bej
C:\WINDOWS\system32\lijqcaia.xpq
C:\WINDOWS\system32\vmbsewim.mim
C:\WINDOWS\system32\drivers\b0b42932.sys
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

Dann wieder HJ und poste das Log der Killbox.
Bin erst wieder in zwei Tagen verfügbar,

chris

Smeagol45 · 06.08.2008, 06:31

Hi,

Hab Killbox laufen lassen wie du gesagt hast

Zitat:

Killbox Log:

Code:

ATTFilter

Pocket Killbox version 2.0.0.881
Running on Windows XP as sebastian.groemcke(Administrator)
was started @ Mittwoch, August 06, 2008, 7:22 AM
 
# 1 [Delete on Reboot]
Path = C:\WINDOWS\system32\dcexdjel.exe

 
# 2 [Delete on Reboot]
Path = C:\WINDOWS\system32\fqifplag.mro

 
# 3 [Delete on Reboot]
Path = C:\WINDOWS\system32\eoctknas.bej

 
# 4 [Delete on Reboot]
Path = C:\WINDOWS\system32\lijqcaia.xpq

 
# 5 [Delete on Reboot]
Path = C:\WINDOWS\system32\vmbsewim.mim

 
# 6 [Delete on Reboot]
Path = C:\WINDOWS\system32\drivers\b0b42932.sys

 
I Rebooted @ 7:25:03 AM
Killbox Closed(Exit) @ 7:25:05 AM
__________________________________________________

Zitat:

Neuster HijackThis log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:28, on 2008-08-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\IABC38.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\userinit.exe
C:\Programme\Microsoft IntelliPoint\dpupdchk.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://s10socom/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - https://s10socom/officescan/console/ClientInstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://s10socom/officescan/console/ClientInstall/setup.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://s10socom/officescan/console/html/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://s10socom/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = socom.local
O17 - HKLM\Software\..\Telephony: DomainName = socom.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C45DBBA-C3D1-4136-9258-97F4036F3F55}: NameServer = 192.168.0.100,192.168.0.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = socom.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C45DBBA-C3D1-4136-9258-97F4036F3F55}: NameServer = 192.168.0.100,192.168.0.253
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (file missing)
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe

--
End of file - 5518 bytes

Bis in zwei Tagen

scheint ja aber nichts mehr da zu sein dann sag ich mal diesmal nur vorläufig
DANKE

Chris4You · 07.08.2008, 14:09

Hi,

da hast sich wieder was eingenistet (und hoffentlich nicht schon wieder vermehrt

C:\WINDOWS\TEMP\IABC38.EXE

Bitte sofort online prüfen lassen (Exe-Dateien aus temp. Verzeichnissen sind immer "seltsam")...

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Poste bitte das Log...

chris

chris

Smeagol45 · 07.08.2008, 16:09

Datei nicht mehr Vorhanden

Ich hab nur die normale Windows Temp Leerung vorgenommen aber schon bevor ich deinen Beitrag gelesen hatte

Neuste Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:07, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft IntelliPoint\dpupdchk.exe
C:\WINDOWS\system32\mstsc.exe
B:\Zeiterfassung\TimeStamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\sebastian.groemcke.SOCOM\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://sow2k8fdc01/owa/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://s10socom/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - https://s10socom/officescan/console/ClientInstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://s10socom/officescan/console/ClientInstall/setup.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://s10socom/officescan/console/html/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://s10socom/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = socom.local
O17 - HKLM\Software\..\Telephony: DomainName = socom.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C45DBBA-C3D1-4136-9258-97F4036F3F55}: NameServer = 192.168.0.100,192.168.0.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = socom.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C45DBBA-C3D1-4136-9258-97F4036F3F55}: NameServer = 192.168.0.100,192.168.0.253
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (file missing)
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe

--
End of file - 5322 bytes

Danke

Cryp_Upack - erkannt aber nicht löschbar

Plagegeister aller Art und deren Bekämpfung: Cryp_Upack - erkannt aber nicht löschbar