Malware nicht löschbar!

Schaf · 22.10.2008, 14:35

ich bekomm demnächst noch einen anfall mit meinem rechner wegen den meldungen die ich dauernd bekomm

FreeAntiVir - Meldefenster sagt:

Trojanisches Pferd TR/Agent.6938.A gefunden
Trojanisches Pferd TR/Patched.CK.56 gefunden

(hab keine Externe Quellen da Antivir nur die Fehlermeldungen in dem kleinen fenster bringt und mir die Option: In Quarantäne verschieben / Löschen / Ignorieren lässt -> habe keine Infos was es genau mit den meldungen auf sich hat und ehrlichgesagt auch nicht viel ahnung davon

bin zwar n kleiner pc-crack aber in sachen viren, malware, usw. noch der totale anfänger!

*edit* habe direkt mal danach gegooglet und ich hab jetzt schonmal rausgefunden das es um eine malware geht und dass das ganze mit einem wurm zu tun haben soll, der daten mit einem Serve in Ungarn abgleicht um das löschen zu verhindern

tatsache ist: es gibt schon einige mit dem selben problem! tatsache ist aber auch das ich jetzt schon kp wie viele anleitungen zum löschen durch hab und bisher nicht wirklich viel geholfen hat!

über avast und avira antivir, über Malwarebytes und sonst was...ich hab alles durch und alles genau befolgt, aber ich bekomm den schrott nicht runter! formatieren geht aber auf keinen fall, da ich so viele dateien drauf hab die wichtig sind, von denen ich aber bestmmt die hälfte vergessen würde zu sichern! Angefangen bei Favoriten für Internetseiten über Zusammengeschnittene Filme (selbstgemachte wegen eines projektes) bis hin zu Bildern die sonst nirgendwo vorhanden sind und noch viel, viel mehr! Also Formatieren wäre die wirklich aller letzte möglichkeit die ich nutzen will.

also falls mir jemand iwie weiterhelfen kann - ich bin für jede hilfe verdammt dankbar!

falls ihr irgendwelche screenshots, infos oder logfiles braucht kann ich die gerne posten, müsste dann aber dementsprechend erst noch das programm durchlaufen lassen!

Leonidas88 · 22.10.2008, 14:56

Poste bitte das log Hijack und malwarebytes

Chris4You · 22.10.2008, 15:23

Hi,

bitte HJ-Log gemäß der Signatur und RSIT-Log;

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris

Schaf · 22.10.2008, 15:42

hab RSIT jetzt runtergeladen und durchlaufen lassen! hier die logfile:

Code:

ATTFilter

Logfile of random's system information tool 1.04 (written by random/random)
Run by ***** at 2008-10-22 16:26:57
Microsoft Windows XP Professional Service Pack 2
System drive C: has 8 GB (41%) free of 20 GB
Total RAM: 1022 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:27:07, on 22.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\WINDOWS\vsnp2std.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\Programme\Scramby\ScrambyServer.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Michi\Desktop\RSIT.exe
C:\Programme\trend micro\Michi.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdiux.exe] C:\WINDOWS\system32\kdiux.exe
O4 - HKLM\..\RunOnce: [B Register C:\Programme\DivX\DivX Web Player\npdivx32.dll] "C:\WINDOWS\system32\rundll32.exe" "C:\Programme\DivX\DivX Web Player\npdivx32.dll",DllRegisterServer
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - Startup: T-Online DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Michi\Startmenü\Programme\IMVU\Run IMVU.lnk
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202943145062
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - https://keycrypt.levelupgames.co.in/nProtect/keycrypt/npkcx.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://plugin.driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4774CE31-3FB1-43D1-BEDC-FA9ACAB0B8DC}: NameServer = 85.255.112.219;85.255.112.220
O17 - HKLM\System\CCS\Services\Tcpip\..\{7691FE27-2152-4581-9B3A-9D7DA9C69CA2}: NameServer = 85.255.112.219;85.255.112.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{4774CE31-3FB1-43D1-BEDC-FA9ACAB0B8DC}: NameServer = 85.255.112.219;85.255.112.220
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: License Management Service SON - e-sonopress - C:\Programme\Gemeinsame Dateien\esonopress Shared\Service\Licence Manager SON.exe
O23 - Service: npkcsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32\npkcsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: Scramby Service (ScrambySrv) - RapidSolution - C:\Programme\Scramby\ScrambyServer.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8282 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\10 - Keine Zeit.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
Winamp Toolbar Loader - C:\Programme\Winamp Toolbar\winamptb.dll [2008-07-16 1266992]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 853672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll [2007-09-25 501136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2007-09-20 328752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll [2008-05-22 654320]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{D0943516-5076-4020-A3B5-AEFAF26AB263} - Veoh Browser Plug-in - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll [2008-04-01 352256]
{EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - Winamp Toolbar - C:\Programme\Winamp Toolbar\winamptb.dll [2008-07-16 1266992]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avgnt"=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-08-28 266497]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2007-12-05 8523776]
"HDAudDeck"=C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe [2007-11-22 7122944]
"snp2std"=C:\WINDOWS\vsnp2std.exe [2006-01-06 344064]
"C:\WINDOWS\system32\kdiux.exe"=C:\WINDOWS\system32\kdiux.exe []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"B Register C:\Programme\DivX\DivX Web Player\npdivx32.dll"=C:\Programme\DivX\DivX Web Player\npdivx32.dll [2008-05-13 1335600]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SandboxieControl"=C:\Programme\Sandboxie\SbieCtrl.exe [2008-09-02 716800]

C:\Dokumente und Einstellungen\*****\Startmenü\Programme\Autostart
T-Online DSL-Manager.lnk - C:\Programme\T-Online\DSL-Manager\TODslMgr.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
WgaLogon.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll [2004-08-04 240128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sdauxservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\sdcoreservice]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
"StartMenuLogOff"=1

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe"="C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe:*:Enabled:CyberLink PowerCinema"
"C:\Programme\Home Cinema\PowerCinema\PCMService.exe"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program"
"C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"E:\Spiele\Steam\SteamApps\das_schaf89\counter-strike\hl.exe"="E:\Spiele\Steam\SteamApps\das_schaf89\counter-strike\hl.exe:*:Enabled:Half-Life Launcher"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\Programme\Gamers.IRC\mirc.exe"="C:\Programme\Gamers.IRC\mirc.exe:*:Enabled:mIRC"
"C:\Programme\UrbanTerror\ioUrbanTerror.exe"="C:\Programme\UrbanTerror\ioUrbanTerror.exe:*:Enabled:ioUrbanTerror"
"C:\Programme\Veoh Networks\Veoh\VeohClient.exe"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe:*:Enabled:Veoh Client"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"E:\Programme\America's Army\System\ArmyOps.exe"="E:\Programme\America's Army\System\ArmyOps.exe:*:Enabled:ArmyOps"
"C:\WINDOWS\system32\dplaysvr.exe"="C:\WINDOWS\system32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"E:\Spiele\THPS2\THawk2.exe"="E:\Spiele\THPS2\THawk2.exe:*:Enabled:THawk2"
"E:\Spiele\tthawa\Game\THAW.exe"="E:\Spiele\tthawa\Game\THAW.exe:*:Enabled:Tony Hawk's American Wasteland"
"E:\Spiele\Steam\SteamApps\das_schaf89\half-life 2 deathmatch\hl2.exe"="E:\Spiele\Steam\SteamApps\das_schaf89\half-life 2 deathmatch\hl2.exe:*:Enabled:hl2"
"C:\Programme\Internet Explorer\iexplore.exe"="C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer"
"E:\Spiele\Steam\SteamApps\das_schaf89\dedicated server\hltv.exe"="E:\Spiele\Steam\SteamApps\das_schaf89\dedicated server\hltv.exe:*:Enabled:HLTV Launcher"
"C:\Programme\TightVNC\WinVNC.exe"="C:\Programme\TightVNC\WinVNC.exe:*:Enabled:TightVNC Win32 Server"
"E:\Spiele\UT2004\System\UT2004.exe"="E:\Spiele\UT2004\System\UT2004.exe:*:Enabled:UT2004"
"E:\Spiele\GuitarHero3\GH3.exe"="E:\Spiele\GuitarHero3\GH3.exe:*:Enabled:Guitar Hero III"
"C:\Programme\HLSW\hlsw.exe"="C:\Programme\HLSW\hlsw.exe:*:Enabled:HLSW Application"
"E:\Spiele\RUNE\System\Rune.exe"="E:\Spiele\RUNE\System\Rune.exe:*:Enabled:Rune"
"C:\Dokumente und Einstellungen\All Users\Dokumente\CS1.7\hlds.exe"="C:\Dokumente und Einstellungen\All Users\Dokumente\CS1.7\hlds.exe:*:Enabled:HLDS Launcher"
"E:\Programme\cracked steam\steamapps\darkspaik\counter-strike source\hl2.exe"="E:\Programme\cracked steam\steamapps\darkspaik\counter-strike source\hl2.exe:*:Enabled:hl2"
"E:\Spiele\Steam\SteamApps\common\trackmania nations forever\TmForever.exe"="E:\Spiele\Steam\SteamApps\common\trackmania nations forever\TmForever.exe:*:Enabled:TmForever"
"E:\Spiele\Warsow\warsow_x86.exe"="E:\Spiele\Warsow\warsow_x86.exe:*:Enabled:Warsow"
"E:\Spiele\Steam\Steam.exe"="E:\Spiele\Steam\Steam.exe:*:Enabled:Steam"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Disabled:Bonjour"
"E:\Spiele\Carom3D\carom.exe"="E:\Spiele\Carom3D\carom.exe:*:Disabled:Carom"
"C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Disabled:Eine DLL-Datei als Anwendung ausführen"
"C:\Programme\Hamachi\hamachi.exe"="C:\Programme\Hamachi\hamachi.exe:*:Enabled:Hamachi"
"C:\Programme\Winamp Remote\bin\Orb.exe"="C:\Programme\Winamp Remote\bin\Orb.exe:*:Enabled:Orb"
"C:\Programme\Winamp Remote\bin\OrbTray.exe"="C:\Programme\Winamp Remote\bin\OrbTray.exe:*:Enabled:OrbTray"
"C:\Programme\Winamp Remote\bin\OrbStreamerClient.exe"="C:\Programme\Winamp Remote\bin\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

weite im nächsten post da text zu lang!

Schaf · 22.10.2008, 15:46

Code:

ATTFilter

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13e03180-da67-11dc-9c5f-806d6172696f}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com d:
shell\Open\command - D:\resycled\boot.com d:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13e03181-da67-11dc-9c5f-806d6172696f}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com e:
shell\Open\command - E:\resycled\boot.com e:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13e03183-da67-11dc-9c5f-806d6172696f}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com c:
shell\Open\command - C:\resycled\boot.com c:


======List of files/folders created in the last 1 months======

2008-10-22 16:26:57 ----D---- C:\rsit
2008-10-22 16:26:57 ----D---- C:\Programme\trend micro
2008-10-21 23:20:49 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes
2008-10-21 23:20:43 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-21 23:20:42 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2008-10-21 23:02:06 ----D---- C:\Sandbox
2008-10-21 23:01:31 ----A---- C:\WINDOWS\Sandboxie.ini
2008-10-21 23:01:21 ----D---- C:\Programme\Sandboxie
2008-10-21 18:21:15 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-10-21 18:21:12 ----D---- C:\WINDOWS\system32\Kaspersky Lab
2008-10-19 22:35:11 ----D---- C:\Programme\PokerStars
2008-10-19 21:39:22 ----D---- C:\Programme\Scramby
2008-10-19 19:29:51 ----D---- C:\Programme\AV VCS 3.0 Gold
2008-10-19 19:29:37 ----A---- C:\WINDOWS\backodbc.ini
2008-10-19 19:02:21 ----RSHD---- C:\resycled
2008-10-19 18:52:28 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
2008-10-19 18:51:49 ----D---- C:\Programme\RapidSolution
2008-10-19 18:32:44 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Screaming Bee
2008-10-19 18:31:50 ----D---- C:\Programme\Screaming Bee
2008-10-19 18:31:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Screaming Bee
2008-10-19 18:28:40 ----RSD---- C:\WINDOWS\assembly
2008-10-19 18:27:54 ----D---- C:\WINDOWS\Microsoft.NET
2008-10-17 22:52:42 ----D---- C:\Programme\PKR
2008-10-14 16:12:56 ----D---- C:\Programme\Winamp Toolbar
2008-10-14 16:12:56 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2008-10-14 16:12:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2008-10-14 16:12:48 ----D---- C:\Programme\Winamp Remote

======List of files/folders modified in the last 1 months======

2008-10-22 16:26:57 ----RD---- C:\Programme
2008-10-22 16:26:49 ----D---- C:\WINDOWS\Prefetch
2008-10-22 15:56:58 ----D---- C:\WINDOWS\Temp
2008-10-22 15:42:06 ----D---- C:\Programme\DivX
2008-10-22 15:42:05 ----D---- C:\WINDOWS\system32
2008-10-22 15:10:16 ----A---- C:\WINDOWS\SchedLgU.Txt
2008-10-22 15:06:40 ----D---- C:\WINDOWS\system32\CatRoot2
2008-10-22 01:03:46 ----D---- C:\WINDOWS
2008-10-22 00:46:13 ----D---- C:\WINDOWS\system32\drivers
2008-10-21 23:44:40 ----D---- C:\WINDOWS\Debug
2008-10-21 23:01:22 ----SHD---- C:\WINDOWS\Installer
2008-10-21 18:21:14 ----SD---- C:\WINDOWS\Downloaded Program Files
2008-10-21 18:21:11 ----HD---- C:\WINDOWS\inf
2008-10-21 18:20:13 ----SHD---- C:\System Volume Information
2008-10-21 18:20:13 ----D---- C:\WINDOWS\system32\Restore
2008-10-21 14:46:31 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\teamspeak2
2008-10-20 23:16:50 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Skype
2008-10-20 22:45:11 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\skypePM
2008-10-20 15:18:34 ----D---- C:\WINDOWS\Help
2008-10-19 21:39:50 ----RSHDC---- C:\WINDOWS\system32\dllcache
2008-10-19 18:31:13 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2008-10-19 18:28:43 ----D---- C:\WINDOWS\WinSxS
2008-10-19 18:28:01 ----D---- C:\Programme\Internet Explorer
2008-10-19 18:28:00 ----D---- C:\WINDOWS\system32\mui
2008-10-15 23:33:17 ----D---- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-10-15 23:33:06 ----D---- C:\Programme\DVDVideoSoft
2008-10-14 16:13:23 ----D---- C:\Programme\Winamp
2008-10-14 16:12:14 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Winamp
2008-10-07 23:52:07 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Hamachi
2008-09-29 11:58:25 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-09-25 14:35:18 ----D---- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\HLSW
2008-09-23 00:00:20 ----D---- C:\Programme\ICQ6

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-08-28 75072]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-04 14848]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2008-04-15 21248]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2002-08-29 12032]
R2 EAPPkt;Realtek EAPPkt Protocol; C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2005-04-01 66048]
R2 MDC8021X;AEGIS Protocol (IEEE 802.1x) v2.3.1.6; C:\WINDOWS\system32\DRIVERS\mdc8021x.sys [2003-10-20 15781]
R3 avgntflt;avgntflt; \??\C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 FETNDIS;VIA Rhine Family Fast Ethernet Adapter Driver; C:\WINDOWS\system32\DRIVERS\fetnd5a.sys [2002-01-14 36864]
R3 hamachi;Hamachi Network Interface; C:\WINDOWS\system32\DRIVERS\hamachi.sys [2008-03-25 25280]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\System32\DRIVERS\HDAudBus.sys [2004-10-27 138240]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 IntelDH;IntelDH Driver; C:\WINDOWS\System32\Drivers\IntelDH.sys [2008-02-13 5504]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2007-12-05 7435392]
R3 SbieDrv;SbieDrv; \??\C:\Programme\Sandboxie\SbieDrv.sys []
R3 scramby;Scramby Microphone; C:\WINDOWS\system32\drivers\scramby.sys [2007-02-13 25896]
R3 SCREAMINGBDRIVER;Screaming Bee Audio; C:\WINDOWS\system32\drivers\ScreamingBAudio.sys [2008-05-15 21920]
R3 SNP2STD;USB2.0 PC Camera (SNP2STD); C:\WINDOWS\system32\DRIVERS\snp2sxp.sys [2006-05-13 10305664]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2004-08-04 31616]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-04 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-04 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-04 20480]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service; C:\WINDOWS\system32\drivers\viahduaa.sys [2007-10-16 208384]
R3 X10Hid;X10 Hid Device; C:\WINDOWS\System32\Drivers\x10hid.sys [2005-11-28 7040]
R3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2005-05-19 17792]
S3 Bridge;MAC-Brücke; C:\WINDOWS\system32\DRIVERS\bridge.sys [2004-08-03 71552]
S3 BridgeMP;MAC-Brückenminiport; C:\WINDOWS\system32\DRIVERS\bridge.sys [2004-08-03 71552]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-04 17024]
S3 DELL_A02;Dell TrueMobile 1300 USB2.0 WLAN Card Driver; C:\WINDOWS\system32\DRIVERS\PRISMA02.sys [2003-11-11 336800]
S3 ENTECH;ENTECH; \??\C:\WINDOWS\system32\DRIVERS\ENTECH.sys []
S3 HdAudAddService;VIA High Definition Audio Service; C:\WINDOWS\system32\drivers\viahduaa.sys [2007-10-16 208384]
S3 IKFileSec;File Security Driver; C:\WINDOWS\system32\drivers\ikfilesec.sys [2008-02-01 42376]
S3 IKSysFlt;System Filter Driver; C:\WINDOWS\system32\drivers\iksysflt.sys [2007-12-10 66952]
S3 IKSysSec;System Security Driver; C:\WINDOWS\system32\drivers\iksyssec.sys [2007-12-10 81288]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-04 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-04 10880]
S3 Ndisprot;ArcNet NDIS Protocol Driver; \??\C:\WINDOWS\system32\drivers\Ndisprot.sys []
S3 npkcrypt;npkcrypt; \??\C:\WINDOWS\system32\npkcrypt.sys []
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver; C:\WINDOWS\system32\DRIVERS\wg111v2.sys []
S3 scramby_out;Scramby Output; C:\WINDOWS\system32\drivers\scramby_out.sys [2007-08-08 23840]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-04 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-04 15360]
S3 TVICHW32;TVICHW32; \??\C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS []
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 26496]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-04 19328]
S3 xnacc;Microsoft Common Controller For Windows Driver Service; C:\WINDOWS\system32\DRIVERS\xnacc.sys [2006-06-01 509440]
S3 zlportio;zlportio; \??\E:\Spiele\ultrastar\zlportio.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;AntiVir PersonalEdition Classic Planer; C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-08-28 68865]
R2 AntiVirService;AntiVir PersonalEdition Classic Guard; C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-08-28 149761]
R2 CLCapSvc;CyberLink Background Capture Service (CBCS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe [2007-03-08 278608]
R2 gusvc;Google Updater Service; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-05-22 137200]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2007-12-05 155716]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2008-03-08 66872]
R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Programme\CyberLink\Shared Files\RichVideo.exe [2007-03-08 262247]
R2 SbieSvc;Sandboxie Service; C:\Programme\Sandboxie\SbieSvc.exe [2008-09-02 48640]
R2 ScrambySrv;Scramby Service; C:\Programme\Scramby\ScrambyServer.exe [2007-06-03 391168]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\System32\wdfmgr.exe [2005-01-28 38912]
R2 UxTuneUp;TuneUp Designerweiterung; C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R2 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480]
R3 TODslService;T-Online DSL-Manager; C:\Programme\T-Online\DSL-Manager\TODslSvc.exe [2007-01-17 212992]
S2 CLSched;CyberLink Task Scheduler (CTS); C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe [2007-03-08 110677]
S2 npkcsvc;npkcsvc; C:\WINDOWS\system32\npkcsvc.exe [2004-03-31 172544]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 License Management Service SON;License Management Service SON; C:\Programme\Gemeinsame Dateien\esonopress Shared\Service\Licence Manager SON.exe [2008-04-14 69632]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 sdAuxService;PC Tools Auxiliary Service; C:\Programme\Spyware Doctor\pctsAuxs.exe [2008-02-01 747912]
S3 sdCoreService;PC Tools Security Service; C:\Programme\Spyware Doctor\pctsSvc.exe [2008-02-01 948616]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst; C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-05 307968]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WLSetupSvc;Windows Live Setup Service; C:\Programme\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]

-----------------EOF-----------------

Gleich noch eine frage: Bei den Logfiles soll man den Benutzernamen ja ersetzen durch *, #, o.ä.
MUSS man es machen oder SOLL man es machen? hab als usernamen eh nicht meinen vollen Namen und als Admin einer Homepage kenn ich die lücken die einige andere auch kennen (beim Namen herausfinden). Somit wäre es ein leichtes den Benutzernamen abzuleiten

mfg schaf

*PS: Danke für die schnelle Hilfe!

@ Leonidas88:
Durch Malwarebytes kann ich nichtmehr auf meine partitionen zugreifen - fehler in der boot.com -> autorun.ini soll damit zusammenhängen und der grund dafür sein! (laut googlesuche) weil da eine nichtidentifizierbare datei gebootet werden soll -> wird wohl daran liegen das die boot.com im ordner C:\recycled liegt und dieser blockiert werden soll damit sich die tmp1.tmp - tmp0F.tmp sich nicht vermehren können! (nehme mal an das wird das Malwarebytes veranlasst haben?! stimmt das?)

Chris4You · 22.10.2008, 15:58

Hi,
Achtung
Die gesamte Interentverbindung wird umgeleitet (Ukraine!), keinerlei Aktivitäten mehr mit Passwort/Banking etc.
von einem sauberen Rechner aus sofort alle Passwörter ändern!
Melde mich nach weiter analyse wieder...

chris

Chris4You · 22.10.2008, 16:05

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\WINDOWS\system32\kdiux.exe
C:\WINDOWS\system32\npkcsvc.exe
D:\resycled\boot.com
C:\resycled\boot.com

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

Hijackthis, fixen der "kritischen" Einträge (vorher vielleicht MAM runterladen&updaten, RSIT downloaden):
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O17 - HKLM\System\CCS\Services\Tcpip\..\{4774CE31-3FB1-43D1-BEDC-FA9ACAB0B8DC}: NameServer = 85.255.112.219;85.255.112.220
O17 - HKLM\System\CCS\Services\Tcpip\..\{7691FE27-2152-4581-9B3A-9D7DA9C69CA2}: NameServer = 85.255.112.219;85.255.112.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{4774CE31-3FB1-43D1-BEDC-FA9ACAB0B8DC}: NameServer = 85.255.112.219;85.255.112.220

Bitte noch MAM:
MAM (Fullscan und alles bereinigen lassen); Log posten!

Malwarebytes Antimalware.
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html

Smithfraudfix:
Alles unter Pkt "Reinigung" abarbeiten!
http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

Poste das Log von MAM und Smithy...

Chris

Schaf · 22.10.2008, 16:30

kdiux.exe ist garnicht im system 32 ordner vorhanden!

npkcsvc.exe:

Code:

ATTFilter

Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.10.22.0 2008.10.22 - 
AntiVir 7.9.0.5 2008.10.22 - 
Authentium 5.1.0.4 2008.10.22 - 
Avast 4.8.1248.0 2008.10.22 - 
AVG 8.0.0.161 2008.10.22 - 
BitDefender 7.2 2008.10.22 - 
CAT-QuickHeal 9.50 2008.10.22 - 
ClamAV 0.93.1 2008.10.22 - 
DrWeb 4.44.0.09170 2008.10.22 - 
eSafe 7.0.17.0 2008.10.22 Suspicious File 
eTrust-Vet 31.6.6163 2008.10.22 - 
Ewido 4.0 2008.10.22 - 
F-Prot 4.4.4.56 2008.10.22 - 
F-Secure 8.0.14332.0 2008.10.22 - 
Fortinet 3.113.0.0 2008.10.22 - 
GData 19 2008.10.22 - 
Ikarus T3.1.1.44.0 2008.10.22 - 
K7AntiVirus 7.10.503 2008.10.22 - 
Kaspersky 7.0.0.125 2008.10.22 - 
McAfee 5411 2008.10.22 - 
Microsoft 1.4005 2008.10.22 - 
NOD32 3545 2008.10.22 - 
Norman 5.80.02 2008.10.22 - 
Panda 9.0.0.4 2008.10.22 - 
PCTools 4.4.2.0 2008.10.22 - 
Prevx1 V2 2008.10.22 - 
Rising 20.67.22.00 2008.10.22 - 
SecureWeb-Gateway 6.7.6 2008.10.22 - 
Sophos 4.34.0 2008.10.22 - 
Sunbelt 3.1.1742.1 2008.10.21 - 
Symantec 10 2008.10.22 - 
TheHacker 6.3.1.0.123 2008.10.22 - 
TrendMicro 8.700.0.1004 2008.10.22 - 
VBA32 3.12.8.8 2008.10.22 - 
ViRobot 2008.10.22.1432 2008.10.22 - 
VirusBuster 4.5.11.0 2008.10.22 - 
weitere Informationen 
File size: 172544 bytes 
MD5...: 6a76395c4a725ec07e06ea42f0bf0835 
SHA1..: fdf8065eaf6505a3c217765bfce97fff9b11bf1f 
SHA256: 46ea2311aa86281c53cbd0aef1784f972866de5e3919504d69b4ed665031b693 
SHA512: a23cae69f3150f6585b10e27db2d98c8bc1146d4dd563507bda1092c64940e80
c5db9ab808b1827a1a10a015220fa747e72107a044f9e429a5936867f32d6572 
PEiD..: - 
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4719f0
timedatestamp.....: 0x3fff5e1c (Sat Jan 10 02:06:20 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x49000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x4a000 0x28000 0x27e00 7.91 30f283e58499e61e387c4628d6b2d6c1
.rsrc 0x72000 0x2000 0x2000 3.70 bfb3bbc9cad6935a8daf6470331c4c9e

( 7 imports ) 
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> ADVAPI32.DLL: FreeSid
> COMCTL32.DLL: ImageList_Add
> GDI32.DLL: BitBlt
> OLE32.DLL: IsEqualGUID
> OLEAUT32.DLL: SysStringLen
> USER32.DLL: GetDC

( 0 exports ) 
 
packers (Kaspersky): UPX 
packers (F-Prot): UPX

boot.com von D:\ :

Code:

ATTFilter

Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.10.22.0 2008.10.22 - 
AntiVir 7.9.0.5 2008.10.22 - 
Authentium 5.1.0.4 2008.10.22 - 
Avast 4.8.1248.0 2008.10.22 - 
AVG 8.0.0.161 2008.10.22 - 
BitDefender 7.2 2008.10.22 - 
CAT-QuickHeal 9.50 2008.10.22 - 
ClamAV 0.93.1 2008.10.22 - 
DrWeb 4.44.0.09170 2008.10.22 - 
eSafe 7.0.17.0 2008.10.22 - 
eTrust-Vet 31.6.6163 2008.10.22 - 
Ewido 4.0 2008.10.22 - 
F-Prot 4.4.4.56 2008.10.22 - 
F-Secure 8.0.14332.0 2008.10.22 - 
Fortinet 3.113.0.0 2008.10.22 - 
GData 19 2008.10.22 - 
Ikarus T3.1.1.44.0 2008.10.22 - 
K7AntiVirus 7.10.503 2008.10.22 - 
Kaspersky 7.0.0.125 2008.10.22 - 
McAfee 5411 2008.10.22 - 
Microsoft 1.4005 2008.10.22 - 
NOD32 3545 2008.10.22 - 
Norman 5.80.02 2008.10.22 - 
Panda 9.0.0.4 2008.10.22 - 
PCTools 4.4.2.0 2008.10.22 - 
Prevx1 V2 2008.10.22 - 
Rising 20.67.22.00 2008.10.22 - 
SecureWeb-Gateway 6.7.6 2008.10.22 - 
Sophos 4.34.0 2008.10.22 - 
Sunbelt 3.1.1742.1 2008.10.21 - 
Symantec 10 2008.10.22 - 
TheHacker 6.3.1.0.123 2008.10.22 - 
TrendMicro 8.700.0.1004 2008.10.22 - 
VBA32 3.12.8.8 2008.10.22 - 
ViRobot 2008.10.22.1432 2008.10.22 - 
VirusBuster 4.5.11.0 2008.10.22 - 
weitere Informationen 
File size: 29184 bytes 
MD5...: aed5f876f649af26533619e1db0cb146 
SHA1..: e135caa557d67b6f8cd65fc1e7510032168731ff 
SHA256: 03735fca0f93d09902c57a3f97edb142df03bf52a3d6088e3438abaea59f1d36 
SHA512: 7cdd3fe113db813b765b040d493b475aea49440d4262ea6dc7e5492c75f26ef8
61fa8d957c0acb4eeab939de75b442482bce632e1ba7a7777080994f27327438 
PEiD..: - 
TrID..: File type identification
Unknown! 
PEInfo: -

boot.com con C:\ :

Code:

ATTFilter

Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.10.22.0 2008.10.22 - 
AntiVir 7.9.0.5 2008.10.22 - 
Authentium 5.1.0.4 2008.10.22 - 
Avast 4.8.1248.0 2008.10.22 - 
AVG 8.0.0.161 2008.10.22 - 
BitDefender 7.2 2008.10.22 - 
CAT-QuickHeal 9.50 2008.10.22 - 
ClamAV 0.93.1 2008.10.22 - 
DrWeb 4.44.0.09170 2008.10.22 - 
eSafe 7.0.17.0 2008.10.22 - 
eTrust-Vet 31.6.6162 2008.10.21 - 
Ewido 4.0 2008.10.22 - 
F-Prot 4.4.4.56 2008.10.22 - 
F-Secure 8.0.14332.0 2008.10.22 - 
Fortinet 3.113.0.0 2008.10.22 - 
GData 19 2008.10.22 - 
Ikarus T3.1.1.44.0 2008.10.22 - 
K7AntiVirus 7.10.503 2008.10.22 - 
Kaspersky 7.0.0.125 2008.10.22 - 
McAfee 5411 2008.10.22 - 
Microsoft 1.4005 2008.10.22 - 
NOD32 3545 2008.10.22 - 
Norman 5.80.02 2008.10.22 - 
Panda 9.0.0.4 2008.10.22 - 
PCTools 4.4.2.0 2008.10.22 - 
Prevx1 V2 2008.10.22 - 
Rising 20.67.22.00 2008.10.22 - 
SecureWeb-Gateway 6.7.6 2008.10.22 - 
Sophos 4.34.0 2008.10.22 - 
Sunbelt 3.1.1742.1 2008.10.21 - 
Symantec 10 2008.10.22 - 
TheHacker 6.3.1.0.123 2008.10.22 - 
TrendMicro 8.700.0.1004 2008.10.22 - 
VBA32 3.12.8.8 2008.10.22 - 
ViRobot 2008.10.22.1432 2008.10.22 - 
VirusBuster 4.5.11.0 2008.10.22 - 
weitere Informationen 
File size: 29184 bytes 
MD5...: 5601d6bbfaf0a774dc07af12baf3e3e0 
SHA1..: aa9ab9996c43e7de2dbbc2f91f0ca1b317f70357 
SHA256: 2c308de1eff8316ddd7f32638b69f5eab37c57052f9a1d8c1554e4be4221a2e2 
SHA512: 60f3c292d7f50e5015b277a1c13aa7bcf1c8e83ebe6f197428179dc75b8e1e2b
469e89667480737facca874671037f0977c148563670f3937a6d1f65aabc53a7 
PEiD..: - 
TrID..: File type identification
Unknown! 
PEInfo: -

MAM und smithy werd ich gleich nochmal runterladen und den log nach durchlauf posten!

Chris4You · 22.10.2008, 16:45

Hi,

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird

Falls der Fehler mit der boot.com immer noch auftritt, hier ein Script für Combofix:

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop ablegen.
Gib an "Alle Dateien" - Speichern:

Code:

ATTFilter

File:: 
D:\resycled\boot.com
E:\resycled\boot.com
C:\resycled\boot.com
D:\autorun.inf
E:\autorun.inf
C:\autorun.inf

Registry:: 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13e03180-da67-11dc-9c5f-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13e03181-da67-11dc-9c5f-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13e03183-da67-11dc-9c5f-806d6172696f}]

Jetzt solltest Du diese Datei auf Deinem Desktop finden, mit der Maus anklicken (rechte Taste gedrückt halten) und per drag-and-drop auf das Combofix-Icon fallen lassen. Der sollte nun starten und das Script abarbeiten; Poste danach das Log von Combofix.

Dabei werden (hoffentlich) sowohl die autorun.inf-Files als auch die Mountpoints gelöscht werden...

Alternativ folge dieser Anleitung (habe aber nicht verifiziert ob das funktioniert);
http://extreme.pcgameshardware.de/li...eitsplatz.html

chris

Ps.: Bin jetzt weg...

can76 · 22.10.2008, 16:47

Hallo Schaf,

ich hatte das selbe Problem wie du auch am Freitag Abend. Kannst hier meine vorgeschichte dazu lesen: http://www.trojaner-board.de/62554-zlob-dnschanger-problem-spybot-search-destroy-nach-windows-neuinstallation.html

Ein sehr wichtiger Tipp von mir:
Schließe keine Externe Festplatte oder USB Speicherstick an dein Rechner, wenn du das machst, wird innerhalb wenigene Miunten (3-5min.) das ding auch deine externe festplatte infizieren und dann kommt die selbe meldung wie bei "c:\resycled boot.com" oder wie das hieß auch bei der Externe Festplatte/Stick etc.

Ich konnte es nur mit glück retten.
Den Virus habe ich wie in meinem Thread beschrieben erst nach mehreren formatierungen wegbekommen, also Windows aufjedenfall neu aufspielen wie hier beschrieben: http://www.trojaner-board.de/51262-anleitung-neuaufsetzen-des-systems-absicherung.html

hoffe du bist den auch bald los, scheint wirklich etwas neues zu sein da momentan viele andere auch den virus haben.

Viel Glück

Schaf · 22.10.2008, 17:25

ich hab so das gefühl das ich um ein formatieren wirklich nicht herumkomme

weil während ich MAM durlaufen lasse kommen fehlermeldungen vom antivir (FUND)

derjenige der die datei gescriptet hat ist wohl nicht sehr schlau gewesen!

die dateien C:\WINDOWS\Temp\tmp1.tmp und tmp2.tmp sind die verusacher und beinhalten eine so simple und dennoch komplizierte scriptart!

in tmp1.tmp befindet sich z.B. der Log mit der server ip in der Ukraine! jedoch löst die tmp sofort eine meldung aus (egal bei welchem anti-viren programm) sobald sie gefunden oder benutzt wird! -> Man fährt mit der maus über die tmp und eine warnung erscheint -> liegt daran das windows eine vorschau (dateigröße, art, usw.) in einem gelben kästchen versucht darzustellen -> tmp wird verändert/gefunden/verwendet -> virenprogramm schlägt alarm -> tmp ist für kurze zeit nicht aktiv!

das wiederum veranlasst die tmp zu folgendem:
generiere tmp2.tmp (fast 100% identisch mit tmp1.tmp unterschied wie folgt: create tmp2.tmp = tmp1.tmp) -> tmp1.tmp und tmp2.tmp existieren!

=> wird eine der 2 tmp gelöscht (z.B. durch ein Programm wie AV) erkennt die tmp datei den verlust und generiert (in dem zeitraum der Meldung des antivirenprogrammes) diese neu -> tmp1.tmp bzw. tmp2.tmp sind wieder vorhanden!

ACHTUNG: Hierzu gibt es noch eine Hauptdatei!
Diese datei ist der hauptgrund des schadens, weil:

Trojaner als datei mit zugriff auf tmp1 bzw 2 -> tmp1 bzw 2 sorgen dafür, dass die hauptdatei geschützt ist (kann nicht gelöscht werden da von einem anderen programm verwendet -> in dem fall von tmp1 bzw 2) -> so gut wie unmöglich das problem zu beheben!

ist jeder soweit mitgekommen?

kennt sich einer mit der programmiersprache ein bisschen besser aus als ich? wenn ja: ich habe das problem dass ich die datei nicht lesen kann (wurde erstellt und konvertiert mit einem programm und somit nicht im editor lesbar!) da ich das programm nicht kenne mit dem die datei erstellt wurde!

Soviel zu meinem trojaner!
thx @ Chris! durch die Programme die das ganze checken sollten hab ich die scriptdateien gefunden und konnte oben genanntes schlussfolgern!
werde aber mal trotzdem noch den rest der anleitung durchmachen in der hoffnung das eines der programm evtl alle temp-files deaktiviert, in den RAM speichert und durch einen neustart löscht (könnte ich mir bei smithy vorstellen!)
somit wäre nämlich der trojaner aufgeschmissen da er nichtmehr verwendet wird und kann einfach per shredder (sogar durch rechte maustaste - löschen (wäre schwachsinnig!) gecleaned bzw gelöscht werden!

*ANMERK* Es besteht die möglichkeit die Malware locker zu entfernen wenn jmd ein dementsprechendes Programm (wie oben beschrieben) kennt/hat!

Schaf · 22.10.2008, 17:59

also....ich hab von 2 sachen jetzt eine log-file die erste direkt nach der untersuchung -> funde:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 2

22.10.2008 18:51:20
mbam-log-2008-10-22 (18-51-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 176553
Laufzeit: 1 hour(s), 4 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Pornovid (Trojan.DNSChanger) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> No action taken.

Infizierte Dateien:
C:\resycled\boot.com (Trojan.DNSChanger) -> No action taken.
C:\WINDOWS\Temp\tempo-94F.tmp (Trojan.FakeAlert) -> No action taken.

und dann geh ich mal schwer davor aus dass das dabei rauskommen sollte:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 2

22.10.2008 18:51:55
mbam-log-2008-10-22 (18-51-55).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 176553
Laufzeit: 1 hour(s), 4 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Pornovid (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\tempo-94F.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

passt das so?

Schaf · 22.10.2008, 18:23

smithy logfile:

Code:

ATTFilter

SmitFraudFix v2.366

Scan done at 19:12:01,53, Mi 22.10.2008
Run from C:\Dokumente und Einstellungen\Michi\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\autorun.inf Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4774CE31-3FB1-43D1-BEDC-FA9ACAB0B8DC}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4774CE31-3FB1-43D1-BEDC-FA9ACAB0B8DC}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4774CE31-3FB1-43D1-BEDC-FA9ACAB0B8DC}: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

auf partition C kann ich zugreifen - D und E jedoch nicht, hab ich was vergessen?

Schaf · 22.10.2008, 18:37

so....combofix hab ich auch noch durchlaufen lassen!

hier die log:

Code:

ATTFilter

ComboFix 08-10-21.05 - Michi 2008-10-22 19:29:42.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.664 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Michi\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Autorun.inf
E:\Autorun.inf

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-22 bis 2008-10-22  ))))))))))))))))))))))))))))))
.

2008-10-22 19:03 . 2007-09-06 00:22	289,144	--a------	C:\WINDOWS\system32\VCCLSID.exe
2008-10-22 19:03 . 2006-04-27 17:49	288,417	--a------	C:\WINDOWS\system32\SrchSTS.exe
2008-10-22 19:03 . 2008-09-08 23:38	88,576	--a------	C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-10-22 19:03 . 2008-10-01 15:51	87,552	--a------	C:\WINDOWS\system32\VACFix.exe
2008-10-22 19:03 . 2008-10-10 08:58	82,944	--a------	C:\WINDOWS\system32\o4Patch.exe
2008-10-22 19:03 . 2008-05-18 21:40	82,944	--a------	C:\WINDOWS\system32\IEDFix.exe
2008-10-22 19:03 . 2008-10-10 08:58	82,944	--a------	C:\WINDOWS\system32\IEDFix.C.exe
2008-10-22 19:03 . 2008-08-18 12:19	82,432	--a------	C:\WINDOWS\system32\404Fix.exe
2008-10-22 19:03 . 2003-06-05 21:13	53,248	--a------	C:\WINDOWS\system32\Process.exe
2008-10-22 19:03 . 2004-07-31 18:50	51,200	--a------	C:\WINDOWS\system32\dumphive.exe
2008-10-22 19:03 . 2007-10-04 00:36	25,600	--a------	C:\WINDOWS\system32\WS2Fix.exe
2008-10-22 19:03 . 2008-10-22 19:12	1,808	--a------	C:\WINDOWS\system32\tmp.reg
2008-10-22 16:26 . 2008-10-22 16:27	<DIR>	d--------	C:\rsit
2008-10-22 16:26 . 2008-10-22 17:40	<DIR>	d--------	C:\Programme\trend micro
2008-10-21 23:20 . 2008-10-22 17:31	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-10-21 23:20 . 2008-10-21 23:20	<DIR>	d--------	C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Malwarebytes
2008-10-21 23:20 . 2008-10-21 23:20	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-21 23:20 . 2008-10-16 20:25	38,496	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-21 23:20 . 2008-10-16 20:25	15,504	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-21 23:02 . 2008-10-21 23:02	<DIR>	d--------	C:\Sandbox
2008-10-21 23:01 . 2008-10-21 23:01	<DIR>	d--------	C:\Programme\Sandboxie
2008-10-21 23:01 . 2008-10-22 17:36	1,664	--a------	C:\WINDOWS\Sandboxie.ini
2008-10-21 18:21 . 2008-10-21 18:21	<DIR>	d--------	C:\WINDOWS\system32\Kaspersky Lab
2008-10-21 18:21 . 2008-10-21 18:21	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-10-20 15:20 . 2008-10-20 15:20	27,904	--a------	C:\WINDOWS\system32\drivers\ndisprot.sys
2008-10-19 22:35 . 2008-10-20 20:22	<DIR>	d--------	C:\Programme\PokerStars
2008-10-19 21:39 . 2008-10-19 21:40	<DIR>	d--------	C:\Programme\Scramby
2008-10-19 19:29 . 2008-10-21 23:04	<DIR>	d--------	C:\Programme\AV VCS 3.0 Gold
2008-10-19 19:29 . 2008-10-19 19:33	16	--a------	C:\WINDOWS\system32\DataRnvx.dat
2008-10-19 19:29 . 2008-10-19 19:33	16	--a------	C:\WINDOWS\backodbc.ini
2008-10-19 18:52 . 2008-10-19 18:52	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
2008-10-19 18:51 . 2008-10-19 18:51	<DIR>	d--------	C:\Programme\RapidSolution
2008-10-19 18:32 . 2008-10-19 18:32	<DIR>	d--------	C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Screaming Bee
2008-10-19 18:31 . 2008-10-19 18:31	<DIR>	d--------	C:\Programme\Screaming Bee
2008-10-19 18:31 . 2008-10-19 18:32	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Screaming Bee
2008-10-17 22:52 . 2008-10-21 23:27	<DIR>	d--------	C:\Programme\PKR
2008-10-14 16:12 . 2008-10-14 16:12	<DIR>	d--------	C:\Programme\Winamp Toolbar
2008-10-14 16:12 . 2008-10-14 16:12	<DIR>	d--------	C:\Programme\Winamp Remote
2008-10-14 16:12 . 2008-10-14 16:12	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2008-10-14 16:12 . 2008-10-14 16:12	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2008-09-23 19:04 . 2008-10-11 22:43	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-09-23 19:04 . 2008-09-23 19:04	1,409	--a------	C:\WINDOWS\QTFont.for

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-22 13:42	---------	d-----w	C:\Programme\DivX
2008-10-21 12:46	---------	d-----w	C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\teamspeak2
2008-10-20 21:16	---------	d-----w	C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Skype
2008-10-20 20:45	---------	d-----w	C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\skypePM
2008-10-15 21:33	---------	d-----w	C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-10-15 21:33	---------	d-----w	C:\Programme\DVDVideoSoft
2008-10-14 14:13	---------	d-----w	C:\Programme\Winamp
2008-10-14 14:12	---------	d-----w	C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Winamp
2008-10-07 21:52	---------	d-----w	C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Hamachi
2008-09-29 09:58	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-09-25 12:35	---------	d-----w	C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\HLSW
2008-09-22 22:00	---------	d-----w	C:\Programme\ICQ6
2008-09-22 14:18	---------	d-s---w	C:\Programme\HLSW
2008-09-21 12:22	---------	d-----w	C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\IMVU
2008-09-20 18:19	---------	d-----w	C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\IMVUClient
2008-09-19 21:55	200,704	----a-w	C:\WINDOWS\system32\ssldivx.dll
2008-09-19 21:55	1,044,480	----a-w	C:\WINDOWS\system32\libdivx.dll
2008-09-19 06:32	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\No23 Recorder
2008-09-11 19:26	---------	d-----w	C:\Programme\CCleaner
2008-08-28 15:59	---------	d-----w	C:\Programme\Gamers.IRC
2008-08-27 23:44	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-26 19:41	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-26 19:41	---------	d-----w	C:\Programme\Dell TrueMobile
2008-08-26 19:41	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prism
2008-04-16 20:51	32	----a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2008-07-16 1266992]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SandboxieControl"="C:\Programme\Sandboxie\SbieCtrl.exe" [2008-09-02 716800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-28 266497]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776]
"HDAudDeck"="C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe" [2007-11-22 7122944]
"snp2std"="C:\WINDOWS\vsnp2std.exe" [2006-01-06 344064]

C:\Dokumente und Einstellungen\Michi\Startmen\Programme\Autostart\
T-Online DSL-Manager.lnk - C:\Programme\T-Online\DSL-Manager\TODslMgr.exe [2008-02-13 901120]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"E:\\Spiele\\Steam\\SteamApps\\das_schaf89\\counter-strike\\hl.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Gamers.IRC\\mirc.exe"=
"C:\\Programme\\UrbanTerror\\ioUrbanTerror.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"E:\\Programme\\America's Army\\System\\ArmyOps.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"E:\\Spiele\\THPS2\\THawk2.exe"=
"E:\\Spiele\\tthawa\\Game\\THAW.exe"=
"E:\\Spiele\\Steam\\SteamApps\\das_schaf89\\half-life 2 deathmatch\\hl2.exe"=
"E:\\Spiele\\Steam\\SteamApps\\das_schaf89\\dedicated server\\hltv.exe"=
"C:\\Programme\\TightVNC\\WinVNC.exe"=
"E:\\Spiele\\UT2004\\System\\UT2004.exe"=
"E:\\Spiele\\GuitarHero3\\GH3.exe"=
"C:\\Programme\\HLSW\\hlsw.exe"=
"E:\\Spiele\\RUNE\\System\\Rune.exe"=
"E:\\Programme\\cracked steam\\steamapps\\darkspaik\\counter-strike source\\hl2.exe"=
"E:\\Spiele\\Steam\\SteamApps\\common\\trackmania nations forever\\TmForever.exe"=
"E:\\Spiele\\Warsow\\warsow_x86.exe"=
"E:\\Spiele\\Steam\\Steam.exe"=
"E:\\Spiele\\Carom3D\\carom.exe"=
"C:\\Programme\\Hamachi\\hamachi.exe"=
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2005-04-01 66048]
R2 ScrambySrv;Scramby Service;C:\Programme\Scramby\ScrambyServer.exe [2007-06-03 391168]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 IntelDH;IntelDH Driver;C:\WINDOWS\system32\Drivers\IntelDH.sys [2008-02-13 5504]
R3 SbieDrv;SbieDrv;C:\Programme\Sandboxie\SbieDrv.sys [2008-09-02 100352]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\ScreamingBAudio.sys [2008-05-15 21920]
R3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINDOWS\system32\DRIVERS\snp2sxp.sys [2006-05-13 10305664]
R3 TODslService;T-Online DSL-Manager;C:\Programme\T-Online\DSL-Manager\TODslSvc.exe [2007-01-17 212992]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;C:\WINDOWS\system32\drivers\viahduaa.sys [2007-10-16 208384]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]
S3 License Management Service SON;License Management Service SON;C:\Programme\Gemeinsame Dateien\esonopress Shared\Service\Licence Manager SON.exe [2008-04-14 69632]
S3 Ndisprot;ArcNet NDIS Protocol Driver;C:\WINDOWS\system32\drivers\Ndisprot.sys [2008-10-20 27904]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [ ]
S3 scramby_out;Scramby Output;C:\WINDOWS\system32\drivers\scramby_out.sys [2007-08-08 23840]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-05 307968]
S3 zlportio;zlportio;E:\Spiele\ultrastar\zlportio.sys [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-10-22 C:\WINDOWS\Tasks\10 - Keine Zeit.job
- D:\Radiohits\von Heute\NEK - LAURA NON CE.mp3 [2008-10-06 15:51]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-C:\WINDOWS\system32\kdiux.exe - C:\WINDOWS\system32\kdiux.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Mozilla\Firefox\Profiles\3yfm5gsh.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.mouseworks.de/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-22 19:30:45
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-22 19:31:35
ComboFix-quarantined-files.txt  2008-10-22 17:31:33

Vor Suchlauf: 8.489.459.712 Bytes frei
Nach Suchlauf: 8,693,841,920 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn /TUTag=1BPNAE /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /fastdetect /NoExecute=OptIn /TUTag=1BPNAE-BAK

200	--- E O F ---	2008-02-16 16:21:30

laut combofix ist der pc wieder clean!

ich werd jetzt noch, bevor ich ins bett gehe, antivir noch einmal durchlaufen lassen und via "windows suche" die tmp dateien durchforschen und schauen ob die tmp1 und 2 und die maleware haptdatei vorhanden sind!

sobald ich fertig bin werd ich nochmal bescheid geben über den aktuellen stand!

*EDIT*
Also Antivir hat keinen fund mehr gemeldet (erst standart und dann die benutzerdefinierte mit extremem einstellungen!) und ich habe die dateien auch nichtmehr gefunden! - fazit: die dateien müssen wohl gelöscht worden sein!
zudem war es wie erwartet! smithy ist tatsächlich ein gut durchdachtes script, dass alle temp files verschiebt und via neustart auf dem RAM löscht! somit sind die dateien nicht spurlos verschwunden sondern der binärcode wurde auf 0 gesetzt (für diejenigen die sich nicht ganz so gut auskennen: datei besteht aus 0 und 1 als code bsp: 0001001110101000100101010... -> umgewandelt zu: 0000000... ! also nicht das was der CCleaner oder papierkorb macht sondern die datei wurde überschrieben und dann durch leerstellen ersetzt).

zudem hätte ich noch eine frage, die mir bisher noch niemand beantworten konnte!
folgendes: ich habe einen ordner auf dem desktop, der sich immer wieder automatisch wiedererstellt! der ordner ist kein virus oder dergleichen und wurde von mir erstellt! jedoch lässt er sich aus irgendwelchen gründen seit dem erstellen nichtmehr löschen. Weder tuneupshredder noch cc cleander oder sonst ein programm kann den ordner endgültig entfernen - er erstellt sich immer wieder nach dem verändern, öffnen oder abspeichern einer datei (egal welcher) selbst auf dem desktop. Der ordner ist schreibgeschützt, jedoch lässt sich der schreibschutz nicht deaktivieren bzw er lässt sich deaktivieren ist aber sofort wieder vorhanden!

wie kann das sein? die kollegen vom windowsboard sind ratlos und ich bin auch am ende meines lateins! wenn jemand zufälligerweise weis wie man den ordner löschen kann, bitte posten! wenn nicht ist aber auch nicht schlimm! hab ihn als versteckte datei auf dem desktop und da ich sonst nicht verstecke hab ich alle ordner die versteckt sind ausgeblendet - somit stört mich das ganze nicht wirklich

wäre aber dennoch gut wenn ich ihn löschen könnte :P

Datawizz · 23.10.2008, 01:29

Wenn ich diesen Programmierer jemals erwischen würde ...

Auch mich hat dieser Trojaner nun ca. 8 Stunden gekostet, dummerweise hab ich mir den per USB Stick direkt auf 3 weitere Rechner gezogen bevor ichs gemerkt hatte.

Ich glaube aber, ich bin ihn ohne Formatierung losgeworden.
Und zwar so:

Zu aller erst TCPIP deaktivieren und das Ethernet Kabel raus !
MBAM laufen lassen und die Funde alle löschen lassen .
Dann direkt rebooten und gleich nochmals MBAM durchlaufen lassen,
ohne irgendwas anderes vorher oder währenddessen zu tun.
Danach den TotalCommander gestartet (NICHT auf C: oder D: oder so im Explorer klicken, das aktiviert die Autostart.inf !)
Alle Ordner "Resycle" auf allen Platte gelöscht
Alle Ordner TEMP (in allen Verzeichnissen suchen!) löschen
Nach der KDPMG.exe suchen und falls da, löschen
Dann wieder rebooten und MBAM nochmals laufen lassen ... siehe da, alles weg !:aplaus:

Hoffe, es bleibt so....

Malware nicht löschbar!

Plagegeister aller Art und deren Bekämpfung: Malware nicht löschbar!