Hallo.

Code: Alles auswählenAufklappen

ATTFilter

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
         

Mit der ntos.exe hast du dir wahrscheinlich einen üblen Rootkitkandidaten ins System geholt. Führe mal bitte zur weiteren Analyse Combofix aus und poste davon das Logfile.

Zitat:

Zitat von cosinus

Hallo.

Code: Alles auswählenAufklappen

ATTFilter

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
         

Mit der ntos.exe hast du dir wahrscheinlich einen üblen Rootkitkandidaten ins System geholt. Führe mal bitte zur weiteren Analyse Combofix aus und poste davon das Logfile.

Hier das Logfile vom Combfix:

ComboFix 07-10-12.4 - Neutral 2007-10-15 23:16:53.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.688 [GMT 2:00]
ausgeführt von:: C:\EScan\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-15 bis 2007-10-15 ))))))))))))))))))))))))))))))
.

2007-10-15 23:15 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-15 23:06 <DIR> d-------- C:\bases_x
2007-10-15 21:22 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-10-15 21:22 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-10-15 21:22 <DIR> d-a------ C:\WINDOWS\system32\systems.txt
2007-10-15 21:22 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-10-15 21:22 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-10-15 21:22 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-10-15 21:22 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-10-15 21:20 153,600 --a------ C:\WINDOWS\R.COM
2007-10-15 21:20 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-10-15 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-10-15 21:19 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2007-10-15 21:19 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-10-15 21:19 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-10-15 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-10-15 21:19 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-10-15 21:19 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-10-15 21:15 <DIR> d-------- C:\EScan
2007-10-15 19:52 <DIR> d-------- C:\HiJackThis
2007-10-14 15:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-10-14 15:27 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-10-10 22:10 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-03 13:53 <DIR> d-------- C:\WINDOWS\PIF

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-14 13:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-10-14 11:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-10-10 15:12 83,344 ----a-w C:\Dokumente und Einstellungen\Neutral\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2005-06-22 06:37:42 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 17:56 C:\WINDOWS\system32\CTHELPER.EXE]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-09-18 13:41]
"QuickTime Task"="D:\Programme\QuickTime\qttask.exe" [2006-09-01 16:57]
"OpwareSE2"="D:\Programme\Scannerprogramme\OmniPage\OpwareSE2.exe" [2003-05-08 12:00]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 19:43]
"Jet Detection"="D:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 01:00]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-09-12 16:34]
"CloneDVDElbyDelay"="D:\Programme\Brennersoftware\CloneDVD 1.1.6.1\CloneDVD\ElbyCheck.exe" [2002-11-02 08:33]
"Camera Detector"="C:\PROGRA~1\ACDSYS~1\ACDSee\CAMDET~1.EXE" [2002-02-27 18:01]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 18:25]
"ATIPTA"="C:\ATI-CPanel\atiptaxx.exe" [2003-04-08 21:00]
"ATIModeChange"="Ati2mdxx.exe" [2002-08-28 17:17 C:\WINDOWS\system32\Ati2mdxx.exe]
"T-DSL SpeedMgr"="D:\Programme\T-DSL Speedmanage6.0\SpeedMgr.exe" [2006-02-09 17:15]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="D:\Programme\Spybot1.5\TeaTimer.exe" [2007-08-31 16:46]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"AnyDVD"="D:\Programme\AnyDVD\AnyDVD.exe" [2007-03-04 14:38]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="D:\Programme\QuickTime\qttask.exe" -atboottime

R3 TSMPacket;T-DSL SpeedManager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2007-01-14 10:45:10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-15 23:19:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-15 23:20:06
.
--- E O F ---





und hier noch das Ergebnis von EScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.7
Sprache: German
Virus-Datenbank Datum: 10/15/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\audio.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with kollah Trojan (C:\WINDOWS\system32\wsnpoem\video.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File D:\Programme\DivX-Player\Installdatei\DivXPro502GAINBundle.exe//Gain_Trickler.exe markiert als "not-a-virus:AdWare.Win32.Gator.3202". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File D:\Programme\Kopie\Proggis\MP3-Mixer\install\TSUninstaller.exe markiert als "not-a-virus:AdWare.Win32.TimeSink". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\wsnpoem\audio.dll
Offending file found: C:\WINDOWS\system32\wsnpoem\video.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\Temp\ZAP42.tmp\Microsoft.VisualBasic.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\system32\ActiveScan\pav.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 200728
Gefundene Viren: 4
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 34
Dauer des Scans bisher: 01:29:11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 23:06:27,48
Batchende: 23:06:41,81



so long
TOM

Code: Alles auswählenAufklappen

ATTFilter

Scanne versteckte Dateien...

C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem

Scan erfolgreich abgeschlossen
versteckte Dateien: 2
         

Du hast leider ein Rootkit im System - folge dem Link neu aufsetzen in meiner Signatur.