Patchload.O eingefangen

Chris4You · 09.11.2011, 08:33

Hi,

einer der Treiber hat überlebt, hast Du alles reinkopiert?
S1 ovhssjwl;ovhssjwl;\??\c:\windows\system32\drivers\ovhssjwl.sys --> c:\windows\system32\drivers\ovhssjwl.sys [?]

Du kannst gerne mal probieren, die Cd von Dell einzulegen und "sfc /scannow" ausprobieren...

Der nicht gelöschte Treiber bereitet mir noch sorgen.... hat Dr. Web was gefunden...?

chris

hansthomas · 09.11.2011, 09:13

Hi,

das cofi script hatte ich abgetippt - aber ich bin mir eigentlich sicher, dabei keinen Fehler gemacht zu haben.
Soll ich es nochmal mit cofi scripten? mit dem gleichen script?

Momentan läuft gerade dr.web - und das wird wohl noch eine Weile dauern. ich melde mich heute abend wieder.

Gruß
Hans

Chris4You · 09.11.2011, 20:22

Hi,

lass cf nochmal nur mit ovhssjwl laufen...(gleiche tags wie im post vorher)...

Dann nochmal SystemLook mit dem Parameter

Code:

ATTFilter

:regfind
mswsock.dll

Bin auf das Log von Dr. Web gespannt...

chris

hansthomas · 09.11.2011, 23:21

Hi,

Dr.Web lief den ganzen Tag bis heute nacht um 2200h! Da ist auch einiges aufgetaucht: ein paar alte Sachen in Emailarchiven, die ich als weniger akkut einstufe, aber später manuell löschen werde; und vor allem trojan.starter.1695 und siggen3 - die entsprechendenden files habe ich alle removed.

Gerade läuft cofi und danach wende ich systemlook an, wie du mir geraten hattest.

Das Netzwerk geht immer noch nicht. Nochmal: soll ich es mit der dell xp Betriebssystem Cd versuchen, oder hat das keinen Sinn?

Nochmal was ganz grundsätzliches: ich wundere mich immer noch drüber, wie so eine Infektion passieren kann: msse, antivir, win updates, java - alles aktuell. In der betreffenden Sitzung hatte ich nur outlook express und firefox mit 2 Tabs offen. Dann sehe ich kurz unten rechts das java Symbol auftauchen und schon blinken msse und antivir - den Rest kennst Du bereits. Dann ist man ja vor gar nichts gefeit?

Die logs hänge ich heute noch an - oder morgen früh - dann wollte ich Dr. Web auch noch ein zweites Mal drüber laufen lassen. ok?

[QUOTE]
Combofix Logfile:

Code:

ATTFilter

ComboFix 11-11-08.01 - *** 09.11.2011  23:11:08.5.4 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3582.3193 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\CoboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_ovhssjwl
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-10-09 bis 2011-11-09  ))))))))))))))))))))))))))))))
.
.
2011-11-06 22:46 . 2011-11-06 22:46	--------	d-----r-	c:\dokumente und einstellungen\NetworkService\Favoriten
2011-11-06 22:15 . 2011-11-06 22:15	--------	d-----w-	C:\TDSSKiller_Quarantine
2011-11-06 20:12 . 2011-11-06 20:12	--------	d-----w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\PCHealth
2011-11-06 20:02 . 2011-11-06 20:02	--------	d-----w-	c:\windows\system32\wbem\Repository
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-27 07:00 . 2011-05-20 07:27	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-09-26 09:41 . 2007-10-09 11:03	614912	----a-w-	c:\windows\system32\uiautomationcore.dll
2011-09-26 09:41 . 2004-08-04 12:00	23040	----a-w-	c:\windows\system32\oleaccrc.dll
2011-09-26 09:41 . 2004-08-04 12:00	220160	----a-w-	c:\windows\system32\oleacc.dll
2011-09-09 09:11 . 2004-08-04 12:00	604160	----a-w-	c:\windows\system32\crypt32.dll
2011-09-06 14:10 . 2004-08-04 12:00	1859072	----a-w-	c:\windows\system32\win32k.sys
2011-08-22 23:41 . 2004-08-04 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2011-08-22 23:41 . 2004-08-04 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-08-22 23:41 . 2004-08-04 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2011-08-22 11:56 . 2004-08-04 12:00	385024	----a-w-	c:\windows\system32\html.iec
2011-08-17 13:49 . 2004-08-04 12:00	138496	----a-w-	c:\windows\system32\drivers\afd.sys
.
.
(((((((((((((((((((((((((((((   SnapShot_2011-11-08_08.37.15   )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-08-04 12:00 . 2008-04-14 02:22	76800              c:\windows\system32\dllcache\cryptdlg.dll
+ 2008-04-14 02:22 . 2008-04-14 02:22	47104              c:\windows\system32\dllcache\coadmin.dll
+ 2004-08-04 12:00 . 2008-04-14 02:20	16896              c:\windows\system32\dllcache\cfgmgr32.dll
+ 2008-04-14 02:22 . 2008-04-14 02:22	16439              c:\windows\system32\dllcache\author.exe
+ 2008-04-14 02:22 . 2008-04-14 02:22	20540              c:\windows\system32\dllcache\author.dll
+ 2004-08-04 12:00 . 2008-04-14 02:22	30208              c:\windows\system32\dllcache\atmlib.dll
+ 2004-08-04 12:00 . 2010-03-05 14:37	65536              c:\windows\system32\dllcache\asycfilt.dll
- 2010-03-05 14:37 . 2010-03-05 14:37	65536              c:\windows\system32\dllcache\asycfilt.dll
+ 2004-08-04 12:00 . 2008-04-14 02:22	98304              c:\windows\system32\dllcache\ahui.exe
+ 2008-04-14 02:22 . 2008-04-14 02:22	43520              c:\windows\system32\dllcache\admwprox.dll
+ 2008-04-14 02:22 . 2008-04-14 02:22	16439              c:\windows\system32\dllcache\admin.exe
+ 2008-04-14 02:22 . 2008-04-14 02:22	20540              c:\windows\system32\dllcache\admin.dll
+ 2008-04-14 02:22 . 2008-04-14 02:22	7168              c:\windows\system32\dllcache\bitsprx4.dll
- 2011-09-03 10:17 . 2011-09-09 09:11	604160              c:\windows\system32\dllcache\crypt32.dll
+ 2004-08-04 12:00 . 2011-09-09 09:11	604160              c:\windows\system32\dllcache\crypt32.dll
+ 2004-08-04 12:00 . 2008-04-14 02:22	253440              c:\windows\system32\dllcache\compatui.dll
+ 2004-08-04 12:00 . 2008-04-14 02:22	281600              c:\windows\system32\dllcache\comdlg32.dll
- 2010-10-14 06:50 . 2010-08-23 16:11	617472              c:\windows\system32\dllcache\comctl32.dll
+ 2004-08-04 12:00 . 2010-08-23 16:11	617472              c:\windows\system32\dllcache\comctl32.dll
+ 2008-04-14 02:22 . 2008-04-14 02:22	188480              c:\windows\system32\dllcache\cfgwiz.exe
+ 2008-04-14 02:22 . 2008-04-14 02:22	233472              c:\windows\system32\dllcache\azroles.dll
+ 2004-08-04 12:00 . 2008-04-14 02:22	125952              c:\windows\system32\dllcache\apphelp.dll
+ 2008-04-14 02:22 . 2008-04-14 02:22	290816              c:\windows\system32\dllcache\adsiis51.dll
+ 2004-08-04 12:00 . 2008-04-14 02:22	116224              c:\windows\system32\dllcache\acxtrnal.dll
+ 2004-08-04 12:00 . 2008-04-14 02:22	245248              c:\windows\system32\dllcache\acspecfc.dll
+ 2004-08-04 12:00 . 2009-11-21 15:54	471552              c:\windows\system32\dllcache\aclayers.dll
- 2010-01-11 11:56 . 2009-11-21 15:54	471552              c:\windows\system32\dllcache\aclayers.dll
+ 2008-04-14 02:22 . 2008-04-14 02:22	136192              c:\windows\system32\dllcache\aaclient.dll
+ 2004-08-04 12:00 . 2008-04-14 02:22	1852928              c:\windows\system32\dllcache\acgenral.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-08-29 1966080]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-12-13 2051096]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 16857600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-11-10 11:49	35736	----a-w-	c:\programme\Adobe\Reader 10.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Launch LGDCore]
2007-12-13 15:57	2095640	----a-w-	c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"d:\\Programme\\tswebeditor\\tswebeditor.exe"=
"d:\\Programme\\Azureus\\Azureus.exe"=
"d:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"d:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"d:\\Programme\\Foxit Software\\PDF Editor\\PDFEdit.exe"=
"d:\\Programme\\EA Games\\Mirror's Edge\\Binaries\\MirrorsEdge.exe"=
"d:\\Programme\\Ubisoft\\Related Designs\\ANNO 1404\\tools\\Anno4Web.exe"=
"d:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"d:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
"d:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"d:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04.04.2008 11:23 717296]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [25.12.2009 12:35 36608]
S3 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [25.12.2009 12:35 233472]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\66.tmp --> c:\windows\system32\66.tmp [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1ocv3mwk.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.n-tv.de/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Free YouTube Download (Free Studio) Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-11-09 23:25
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\66.tmp"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1177238915-1960408961-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:0b,5d,a1,63,9b,b5,1a,50,8d,49,7d,bc,33,23,aa,97,30,60,90,61,aa,3e,e3,
   dc,d8,a0,33,50,24,bb,8c,77,b2,3f,a1,c1,91,8c,55,9d,59,76,1a,2e,11,14,f5,40,\
"??"=hex:21,d1,f4,23,40,9e,54,eb,6e,bf,2c,f9,c3,83,da,43
.
[HKEY_USERS\S-1-5-21-1177238915-1960408961-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:23,0e,f2,eb,85,bb,10,ac,95,72,40,14,36,da,5c,28,dc,a7,d8,2b,88,
   af,b5,8a,0a,19,58,fa,c5,14,ad,e9,66,40,d9,6a,0c,43,9b,a5,4d,81,a8,e0,ee,c9,\
"rkeysecu"=hex:56,1b,63,f5,6c,2f,5e,9d,eb,8f,e6,4a,54,48,26,8d
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(352)
c:\windows\system32\wpdshext.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\Audiodev.dll
c:\windows\system32\WMVCore.DLL
c:\windows\system32\WMASF.DLL
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-11-09  23:28:40 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-11-09 22:28
ComboFix2.txt  2011-11-08 20:46
ComboFix3.txt  2011-11-08 08:40
ComboFix4.txt  2011-01-24 09:42
.
Vor Suchlauf: 14 Verzeichnis(se), 63.504.121.856 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 63.488.327.680 Bytes frei
.
- - End Of File - - 402C0100B105D1A16FBC0BA354F3C27F

--- --- ---

Zitat:

SystemLook 30.07.11 by jpshortstuff
Log created at 23:35 on 09/11/2011 by ***
Administrator - Elevation successful

========== filefind ==========

Searching for "mswsock.dll"
C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\mswsock.dll --a---- 247296 bytes [17:43 20/06/2008] [17:43 20/06/2008] 4AA50627B01C0E9C6B4C6BD3AF648F12
C:\WINDOWS\$hf_mig$\KB951748\SP2QFE\mswsock.dll --a---- 247296 bytes [17:36 20/06/2008] [17:36 20/06/2008] EB55B1D9978B61E9913EDCD27EEC4C7C
C:\WINDOWS\$hf_mig$\KB951748\SP3GDR\mswsock.dll --a---- 247296 bytes [17:46 20/06/2008] [17:46 20/06/2008] ACD8BD448A74F344D46FCAF21BAB92AF
C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\mswsock.dll --a---- 247296 bytes [17:43 20/06/2008] [17:43 20/06/2008] 4AA50627B01C0E9C6B4C6BD3AF648F12
C:\WINDOWS\$NtServicePackUninstall$\mswsock.dll -----c- 247296 bytes [06:27 27/08/2008] [17:39 20/06/2008] 774274C487493452DF3B0126DBE7FF3B
C:\WINDOWS\$NtUninstallKB2509553$\mswsock.dll -----c- 247296 bytes [20:39 15/04/2011] [17:46 20/06/2008] ACD8BD448A74F344D46FCAF21BAB92AF
C:\WINDOWS\$NtUninstallKB951748$\mswsock.dll -----c- 247296 bytes [06:34 27/08/2008] [02:22 14/04/2008] F12B9D9A069331877D006CC81B4735F9
C:\WINDOWS\$NtUninstallKB951748_0$\mswsock.dll -----c- 247296 bytes [09:14 09/07/2008] [12:00 04/08/2004] B36E08F680BAE4DFC5C24D00A2DFC9E7
C:\WINDOWS\ERDNT\cache\mswsock.dll --a---- 247296 bytes [09:42 24/01/2011] [16:02 20/06/2008] F1B67B6B0751AE0E6E964B02821206A3
C:\WINDOWS\ServicePackFiles\i386\mswsock.dll ------- 247296 bytes [02:22 14/04/2008] [02:22 14/04/2008] F12B9D9A069331877D006CC81B4735F9
C:\WINDOWS\system32\mswsock.dll --a---- 247296 bytes [12:00 04/08/2004] [16:02 20/06/2008] F1B67B6B0751AE0E6E964B02821206A3
C:\WINDOWS\system32\dllcache\mswsock.dll -----c- 247296 bytes [17:46 20/06/2008] [16:02 20/06/2008] F1B67B6B0751AE0E6E964B02821206A3
C:\WINDOWS\system32\dllcache\cache\mswsock.dll --a--c- 247296 bytes [06:14 26/08/2009] [17:46 20/06/2008] ACD8BD448A74F344D46FCAF21BAB92AF

========== dir ==========

C:\I386 - Unable to find folder.

C:\windows\I386 - Unable to find folder.

-= EOF =-

der vermaledeite Treiber scheint weg zu sein - kannst Du mir noch was zu sptd sagen?

Danke für Deine ganze Mühe!
und besten Gruß
Hans

Chris4You · 10.11.2011, 07:20

Hallo,

sptd.sys gehört eigentlich zu "Daemon Tools".

Systemlook hast Du mit den alten statt mit dem neuen Parameter ausgeführt, es interessiert mich ob in der Reg der Treiber umgebogen wurde, daher die Suche in der Reg.

Bitte nochmal SytemLook durchführen, diesmal aber mit:

Code:

ATTFilter

:regfind
mswsock.dll

Du kannst versuchen für "sfc /scannow" mit der gefundenen Dell-Windows-CD durchzuführen, wichtig dabei ist es muss sich um die gleiche Version handeln (XP Prof.).

chris

hansthomas · 10.11.2011, 07:59

Hi Chris,

ich hatte systemlook mit der alten Routine durchgeführt, weil das neue script abgestürtzt ist und nur zu einem win Problembericht geführt hat (zweimaliges Versuchen) - ich wollte das eigentlich schon gestern dazugeschrieben haben, aber ich war wohl etwas müde, sry. Kann ich Dir in dem Punkt noch anders weiterhelfen?

Meinst Du, wir haben es geschafft und der Rechner ist sauber?

Ich glaube nicht, dass es sich bei der CD um xp prof handelt (steht xp media center version 2005 drauf) - meine Freundin hat jetzt zwar noch eine weitere xp cd gefunden - diesmal original - ist aber ebenfalls nur die home edition. dann muss ich wohl bis nächste woche warten, oder gibt es noch eine andere Möglichkeit? Vielleicht frag ich noch mal einen Nachbarn...

Chris4You · 11.11.2011, 07:25

Hi,

der Fehler bei Systemlook deutet auf eines -zumindest- teilweise zerstörte Registry hin...
Ev. muss auch eine Reparaturinstallation durchgeführt werden...

Wie sieht es mit den CD's aus?

Gruß,
chris

Patchload.O eingefangen

Plagegeister aller Art und deren Bekämpfung: Patchload.O eingefangen