WGET gehoert zu ComboFix

Sicher? Ich habe ihn eben entpackt und kein wget gefunden.

Zitat:

Zitat von Argus

WGET gehoert zu ComboFix

Combofix hatte ich benutzt, als ich das letzte Mal einen Schädling entfernen musste. Aber das ist doch ein Malware removal tool. Wie kann denn eine andere Software dies als Malware einstufen.

Da mein Online Verhalten sehr vorsichtig ist und ich Registry Änderungen die Spybot S&D anzeigt immer ablehne, frage ich mich, wie das Zeug auf meine Festplatte kommt?

@undoreal, schafft es Deine Software mein System zu säubern. Neuinstallation wäre ein Super GAU.

HRR

Die WGET lassen wir erstmal unbeachtet. Ich finde im Netz Zusammenhänge zu Combofix und zu Bifrost. Werde mich mal informieren.
HRR welche Combofix Version hast du benutzt bzw. wann hast du sie gedownloaded?
Karl du hast wahrscheinlich die neueste verwendet oder?

Zitat:

schafft es Deine Software mein System zu säubern.

dass wissen wir hinterher.. ist aber wie gesagt nur ein Test.


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\Windows\rundll16.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Und poste bitte ein HijackThis log. Anleitung gibt's im FAQ-Bereich.

Das Kuriose ist, dass es keine rundll16.exe im windows Ordner gibt. Es existiert lediglich ein Dateiordner mit diesem Namen und der ist leer. Ich habe alle Dateien eingeblendet.

Hier die Combofix Version, die ich benutzt habe: ComboFix 08-01-11.1.

Hijackthis poste ich gleich.

HRR

Hier die HJT logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:37:20, on 01.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\lg_fwupdate\fwupdate.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Ontrack\Internet Cleanup\onictask.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Antivirus tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =

192.168.178.1;fritz.box
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD

Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE

C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe"

/min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Cleanup.lnk = C:\Programme\Ontrack\Internet Cleanup\onictask.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK =

C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration -

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\\sarah.dll
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) -

http://ca.com/us/securityadvisor/pestscan/pestscan.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH -

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH -

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner -

C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin -

C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) -

Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -

C:\WINDOWS\system32\nvsvc32.exe


HRR

Nach gründlicher Recherche komme ich zu dem Schluss, dass es sich um Fehlalarme handelt.
Du kannst beruhigt sein. Dein Rechner ist sauber.

Ad-Aware hat folgendes gefunden:

rchiveData(Trojandropper small.bckp)
Referencefile : SE1R223 27.02.2008
======================================================

WIN32.TROJANDROPPER.SMALL
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=File : F:\System Volume Information\_restore{7BDA0033-00BE-4B16-9CC4-3B7747B20435}\RP31\A0001043.exe

Auf diesen Ordner verweigert Windows den Zugriff, wenn ich ihn mit Virustotal scannen möchte.

Ich würde gern zu Sicherheit nach den einen oder anderen Check machen. Was sollte ich unternehmen?

Ach, dann gibt es da noch Ordner, deren Schrift blau anstatt schwarz ist. Was hat das zu bedeuten?


HRR