wgsdgsdgdsgsd.exe und A0067266.exe

freddie234 · 20.01.2013, 17:58

Hallo Matthias,
vielen herzlichen Dank soweit!
War fleißig und habe anebi das Combofix-Log. Nebenher habe ich noch zwei weitere Rechner, ich habe die Schritte "MB Antimalware", "OTL scan", "defogger" und "gmer" jeweils scannen lassen und wollte fragen, ob und wie ich Dir diese Logs auch posten darf?

Hier erst mal die Combofix-Log meines (bisher gescannten und behandelten) Hauptrechners:

Combofix Logfile:

Code:

ATTFilter

ComboFix 13-01-17.04 - Administrator 20.01.2013  14:06:16.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1547 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Camyl
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Camyl\cevoy.exe
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\inst.exe
c:\dokumente und einstellungen\Administrator\WINDOWS
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD4.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD5.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD6.tmp
c:\windows\daemon.dll
c:\windows\IsUn0407.exe
c:\windows\system\Color
c:\windows\system32\AF15BDAEX.dll
c:\windows\system32\SET1CA.tmp
c:\windows\system32\tmp9A.tmp
c:\windows\system32\tmp9B.tmp
c:\windows\system32\tmpF42.tmp
c:\windows\system32\tmpF43.tmp
c:\windows\unin0407.exe
c:\windows\wininit.ini
.
Infizierte Kopie von c:\windows\system32\ctfmon.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\system32\ctfmon.exe.backup wurde wiederhergestellt 
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-20 bis 2013-01-20  ))))))))))))))))))))))))))))))
.
.
2013-01-20 13:15 . 2013-01-20 13:15	--------	d-----w-	c:\windows\system32\wbem\snmp
2013-01-20 13:15 . 2013-01-20 13:15	--------	d-----w-	c:\windows\system32\xircom
2013-01-20 13:15 . 2013-01-20 13:15	--------	d-----w-	c:\windows\srchasst
2013-01-20 13:15 . 2013-01-20 13:15	--------	d-----w-	c:\programme\microsoft frontpage
2013-01-10 22:56 . 2013-01-10 22:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities
2013-01-10 22:56 . 2013-01-18 19:22	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Cosah
2013-01-10 22:56 . 2013-01-10 22:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Ubofty
2013-01-06 15:13 . 2013-01-06 15:13	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Brother
2013-01-03 13:42 . 1997-09-04 08:37	251664	----a-w-	c:\windows\system32\Msrd2x35.dll
2013-01-03 13:42 . 1999-03-24 01:06	1046288	------w-	c:\windows\system32\msjet35.dll
2013-01-03 13:42 . 1997-01-13 00:00	37136	----a-w-	c:\windows\system32\MSJINT35.DLL
2013-01-03 13:42 . 1996-12-02 18:44	24336	----a-w-	c:\windows\system32\MSJTER35.DLL
2012-12-23 00:57 . 2012-12-23 00:57	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-15 07:24 . 2012-12-01 17:28	134336	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-12-15 07:24 . 2012-12-01 17:28	83944	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-12-14 15:49 . 2010-09-21 21:34	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-12-02 17:48 . 2007-04-27 09:43	120200	----a-w-	c:\windows\system32\DLLDEV32i.dll
2012-12-02 13:49 . 2012-12-02 13:49	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-02 13:49 . 2012-12-02 13:49	697272	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-11-28 10:22 . 2012-11-28 10:22	1409	----a-w-	c:\windows\QTFont.for
2012-11-16 19:17 . 2012-12-01 17:28	36552	----a-w-	c:\windows\system32\drivers\avkmgr.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 155648]
"Opware15"="c:\anwendungen\Omnipage 15.0\Opware15.exe" [2005-09-26 69632]
"PDF3 Registry Controller"="c:\anwendungen\Omnipage 15.0\PDFConverter3\\RegistryController.exe" [2005-08-25 106496]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2011-09-22 395344]
"TrueImageMonitor.exe"="c:\anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe" [2011-09-22 5587832]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-12-15 384800]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2009-03-08 128512]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
VPN Client.lnk - c:\windows\Installer\{00CD55D6-EE5A-4570-9875-8A306628C032}\Icon3E5562ED7.ico [2009-2-6 6144]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"e:\\Spiele\\FlatOut Ultimate Carnage\\Fouc.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"e:\\Spiele\\COD4\\iw3mp.exe"=
"c:\\Anwendungen\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"54925:UDP"= 54925:UDP:BrotherNetwork Scanner
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 fltsrv;Acronis Storage Filter Management;c:\windows\system32\drivers\fltsrv.sys [20.11.2011 01:53 76768]
R0 psecbdr;psecbdr;c:\windows\system32\drivers\psecbdr.sys [31.01.2009 14:28 17024]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [05.07.2006 13:46 63352]
R0 tdrpman273;Acronis Try&Decide and Restore Points filter (build 273);c:\windows\system32\drivers\tdrpm273.sys [17.05.2011 01:34 752128]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [01.12.2012 18:28 36552]
R2 AAV UpdateService;AAV UpdateService;c:\anwendungen\AAVUpdateManager\aavus.exe [24.10.2008 16:35 128296]
R2 afcdpsrv;Acronis Nonstop Backup-Dienst;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [20.11.2011 01:22 3246040]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.12.2012 18:28 85280]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [24.05.2011 10:33 1840128]
R2 OS Selector;Acronis OS Selector Activator;c:\anwendungen\Acronis Disk Director 11\OSS\reinstall_svc.exe [15.11.2011 18:44 2155848]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [20.11.2011 01:22 167968]
R3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdXP3.sys [10.11.2011 17:19 100368]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [07.05.2007 02:00 53632]
R3 fpcibase;FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [08.02.2009 20:06 537600]
R3 pcouffin;VSO Software pcouffin;c:\windows\system32\drivers\pcouffin.sys [15.02.2009 00:02 47360]
S1 DumpDrv;Crash Dump Driver;c:\windows\system32\drivers\dumpdrv.sys [16.06.2011 21:25 9472]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [08.02.2009 20:06 37568]
S3 cpuz;cpuz;\??\e:\downloads\Optimierung & Benchmark\cpuz.sys --> e:\downloads\Optimierung & Benchmark\cpuz.sys [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [26.04.2011 13:54 2702848]
S3 GigasetGenericUSB;GigasetGenericUSB;c:\windows\system32\drivers\GigasetGenericUSB.sys [04.04.2011 21:25 44032]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [06.06.2011 12:53 137600]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [06.06.2011 12:53 8576]
S3 RTL2832U_IRHID;HID Infrared Remote Receiver;c:\windows\system32\drivers\RTL2832U_IRHID.sys [25.08.2009 19:00 41120]
S3 RTL2832UBDA;REALTEK 2832U BDA Driver;c:\windows\system32\drivers\RTL2832UBDA.sys [25.08.2009 19:00 74912]
S3 RTL2832UUSB;REALTEK 2832U USB Driver;c:\windows\system32\drivers\RTL2832UUSB.sys [25.08.2009 19:00 32288]
S3 scsiscan;SCSI-Scannertreiber;c:\windows\system32\drivers\scsiscan.sys [31.01.2009 13:13 11520]
S4 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [01.02.2009 16:43 155136]
S4 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [01.02.2009 16:43 5248]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-09-03 11:55]
.
2013-01-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-09-03 11:55]
.
2011-09-22 c:\windows\Tasks\sd.job
- e:\admin\sd.bat [2009-03-04 22:06]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://www.ati.com/online/cccwelcome/deu/drivers.html
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: PDF in Word öffnen (PDF Converter 3.0) - c:\anwendungen\Omnipage 15.0\PDFConverter3\IEShellExt.dll /500
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\i25n43ak.default\
FF - prefs.js: browser.startup.homepage - hxxps://signin.ebay.de/ws/eBayISAPI.dll?SignIn
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Ogylpaunli - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Camyl\cevoy.exe
HKLM-Run-OpScheduler - c:\anwendungen\Omnipage 15.0\OpScheduler.exe
HKU-Default-RunOnce-WUAppSetup - c:\programme\Gemeinsame Dateien\logishrd\WUApp32.exe
SafeBoot-WudfPf
SafeBoot-WudfRd
AddRemove-Arbeitszeit - c:\windows\Uninstall_tkexe -arbeitszeit
AddRemove-FotoLook3DeinstKey - c:\windows\unin0407.exe
AddRemove-FRITZ! 2.0 - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-20 14:15
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,c2,8e,d0,d2,86,95,48,4c,90,c1,85,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,c2,8e,d0,d2,86,95,48,4c,90,c1,85,\
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Spiele\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
   00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:fc,af,a3,53,51,6a,8a,9b,a0,a2,2a,95,7c,82,e1,2e,68,ce,a7,e4,ea,5d,71,
   02,49,0c,69,f8,74,f1,61,83,3b,75,d3,49,64,f8,62,74,a4,f2,14,19,53,08,73,7a,\
"??"=hex:8e,2d,86,cb,3c,9d,10,df,2a,93,2d,cc,dc,55,9c,a3
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\SecuROM\License information*]
"datasecu"=hex:a2,fe,bf,55,09,90,40,e0,6e,b1,67,a0,ae,d0,68,3c,17,f1,e5,83,72,
   0a,2a,c8,20,08,d2,e2,92,71,cf,7c,39,76,2c,7e,3e,0c,c7,3c,80,7b,e7,e0,f8,bf,\
"rkeysecu"=hex:4b,19,d8,12,31,d9,86,83,ae,3f,05,33,56,5a,ba,43
.
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,79,00,73,00,\
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(960)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3900)
c:\anwendungen\Omnipage 15.0\OpHook15.dll
c:\windows\system32\msi.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\anwendungen\VPN Client\cvpnd.exe
c:\windows\System32\DVDRAMSV.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\rundll32.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-01-20  14:18:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-01-20 13:18
.
Vor Suchlauf: 6 Verzeichnis(se), 33.217.757.184 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 33.781.792.768 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 3B393AD6F51C09E03C8128581B3A9009

--- --- ---

Gruß Freddie

wgsdgsdgdsgsd.exe und A0067266.exe

Plagegeister aller Art und deren Bekämpfung: wgsdgsdgdsgsd.exe und A0067266.exe

wgsdgsdgdsgsd.exe und A0067266.exe

Ähnliche Themen: wgsdgsdgdsgsd.exe und A0067266.exe