Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.04.2008, 22:02   #1
Dorian77
 
Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster - Standard

Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster



Liebes Team,
habe mir leider den worm.win32.netbooster eingefangen (Symptome analog zu "Spyware, fieser Virus-Windows Security Alert" von B33N_1991). Habe das neueste Windows-Tool zum entfernen schädlicher Software von MS laufen lassen. Es fand zwei Einträge und hat diese gefixt. Seit dem poppen keine Fenster mehr auf, die Verknüpfungen auf dem Desktop bleiben weg und meine Explorer.exe verhält sich wieder ruhig. Allerdings ist mein Windows-Taskmanager immer noch geblockt (benutze momentan ProcessExplorer).

Hier mein Hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 21:33:45, on 28.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Maxtor\Sync\SyncServices.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\EzButton\EzButton.EXE
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\RMClock\RMClock.exe
C:\Programme\RMClock\RMClockHLT.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Dorian\Desktop\Hijack\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System_OEM\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System_OEM\blank.htm
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: DVA Gate - {7A6FD945-14B0-41F8-84FB-74DEF17528BB} - C:\WINDOWS\qnmargolxgn.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: dpevflbg - {B21EAD36-EC0C-4B82-B102-1AB20B481977} - C:\WINDOWS\dpevflbg.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: RMClock.lnk = C:\Programme\RMClock\RMClock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = esrf.fr
O17 - HKLM\Software\..\Telephony: DomainName = esrf.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = esrf.fr
O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Programme\Vector_NTI\Ncbi.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Bin leider kein Experte, ein Analysetool für die Hijack-logfiles sagt aber, dass die bösen dll´s noch da sind. Sagt mir bitte wie ich vorgehen soll.

Noch eine Frage: Was macht die Malware eigentlich genau? Ist es momentan gefährlich mit dem Rechner Daten zu versenden? (Ich denke schon). Dazu ist leider wenig Info zu kriegen.

Besten Dank!
Dorian

Alt 28.04.2008, 22:11   #2
BataAlexander
> MalwareDB
 
Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster - Standard

Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster



Infektionen sind immer gefährlich!

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
- Boote im abgesicherten Modus
- Starte es dann und lass das System Reinigen. (Option 2)
- es fragt Dich nach kurzer Zeit "Do you want to clean the registry?", dies mit "y" bejahen
- nach dem erfolgreichen Durchlauf öffnet es ein Notepad Fenster mit der rapport.txt
- Im Hintergrund muss smitfraudfix.exe noch mit "Q" beendet werden
- Nach diesem Durchlauf wird ggf. Dein Hintergrundbild verschwunden sein.


-Poste danach den Inhalt der Datei C:\rapport.txt
- Wenn auf dem Rechner XP Antispy mit den Standard Einstellungen benutzt wurde, läuft Smitfraudfix ggf. nicht richtig.
- Dein Desktophintergrund ist nach dem Vorgang eventuell gelöscht.
__________________


Alt 28.04.2008, 22:22   #3
Dorian77
 
Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster - Standard

Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster



Danke für die schnelle Antwort!
Bevor ich mit SmitFraudFix anfange noch eine Frage: Auf deren Webseite taucht der worm.win32.netbooster gar nicht auf? Befindet sich auf meinem Rechner etwa noch etwas von dem anderen Kram?

Gruss
Dorian
__________________

Alt 28.04.2008, 22:24   #4
BataAlexander
> MalwareDB
 
Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster - Standard

Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster



Ich will das andere ausschließen, da diese Infektionen oft noch andere Sachen nachladen. Zudem pürft SMF einige wichtige Einstellungen.
Sicherlich werden wir aber noch andere Programme nutzen müssen.

Alt 28.04.2008, 22:44   #5
Dorian77
 
Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster - Standard

Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster



Ist erledigt...

Rapport.txt:

SmitFraudFix v2.319

Scan done at 22:32:45,78, 28.04.2008
Run from C:\Dokumente und Einstellungen\Dorian\Desktop\SmitfrautFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix



»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\olgdqarf.exe Deleted
C:\WINDOWS\wxvgsdbq.exe Deleted
C:\DOKUME~1\Dorian\FAVORI~1\Error Cleaner.url Deleted
C:\DOKUME~1\Dorian\FAVORI~1\Privacy Protector.url Deleted
C:\DOKUME~1\Dorian\FAVORI~1\Spyware?Malware Protection.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Alt 28.04.2008, 22:50   #6
BataAlexander
> MalwareDB
 
Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster - Standard

Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster



Ok, jetzt

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Alt 28.04.2008, 23:15   #7
Dorian77
 
Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster - Standard

Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster



Hey, schon mal vielen Dank für Deine schnellen Antworten!
Der Taskmanager geht wieder...

ComboFix:

ComboFix 08-04-27.3 - Dorian 2008-04-28 22:57:49.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.565 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Dorian\Desktop\ComboFix\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-28 bis 2008-04-28 ))))))))))))))))))))))))))))))
.

2008-04-28 22:32 . 2008-04-28 22:32 4,362 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-24 22:52 . 2008-04-24 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\TmpRecentIcons
2008-04-24 21:46 . 2008-04-24 10:29 200,704 --a------ C:\WINDOWS\dpevflbg.dll
2008-04-22 17:58 . 2008-04-28 20:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-04-13 22:34 . 2008-04-13 22:34 <DIR> d-------- C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\PlayFirst
2008-04-13 22:32 . 2008-04-13 22:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-04-12 19:19 . 2008-04-12 19:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\55-5r-80-24-73-1s
2008-04-12 19:16 . 2008-04-12 19:16 <DIR> d-------- C:\Programme\GameHouse
2008-04-11 23:46 . 2008-04-22 18:36 <DIR> d-------- C:\Programme\Zylom Games
2008-04-11 23:46 . 2008-04-22 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\Zylom
2008-04-11 23:46 . 2008-04-11 23:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
2008-04-06 20:16 . 2008-04-06 20:16 <DIR> d-------- C:\Programme\ReflexiveArcade
2008-04-06 14:35 . 2008-04-06 14:35 <DIR> d-------- C:\Programme\Maxtor
2008-04-06 13:52 . 2008-04-06 13:53 <DIR> d-------- C:\Programme\Unlocker
2008-04-06 00:34 . 2008-04-06 00:34 <DIR> d--h----- C:\WINDOWS\PIF
2008-04-01 22:52 . 2008-04-07 22:10 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-01 22:52 . 2008-04-01 22:52 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-01 22:00 . 2008-04-01 22:00 <DIR> d-------- C:\WINDOWS\wt
2008-04-01 22:00 . 2008-04-01 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-28 22:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-28 22:08 --------- d-----w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\Skype
2008-04-28 21:39 --------- d-----w C:\Programme\RMClock
2008-04-28 21:09 --------- d-----w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\EndNote
2008-04-27 11:29 --------- d-----w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\skypePM
2008-04-22 16:58 --------- d-----w C:\Programme\Google
2008-04-21 17:14 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-04-06 13:12 --------- d-----w C:\Programme\Tcl
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-16 23:13 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-12 23:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Maxtor
2008-03-09 19:28 --------- d-----w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\gtk-2.0
2008-02-28 21:14 --------- d-----w C:\Programme\WinCoot
2008-02-28 21:04 --------- d-----w C:\Programme\CCP4-packages
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-17 23:42 290,816 ------w C:\WINDOWS\Setup1.exe
2008-02-16 08:59 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-01-28 23:11 21,361 ----a-w C:\WINDOWS\AegisP.sys
2008-01-25 22:51 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-06-24 11:52 30,056 ----a-w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B21EAD36-EC0C-4B82-B102-1AB20B481977}"= "C:\WINDOWS\dpevflbg.dll" [2008-04-24 10:29 200704]

[HKEY_CLASSES_ROOT\clsid\{b21ead36-ec0c-4b82-b102-1ab20b481977}]
[HKEY_CLASSES_ROOT\dpevflbg.1]
[HKEY_CLASSES_ROOT\TypeLib\{DC33216E-1322-437E-9D55-2DD312F190C2}]
[HKEY_CLASSES_ROOT\dpevflbg]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 15:04 65536]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-01 18:22 21898024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 20:10 339968]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-10-30 15:46 192512]
"PadTouch"="C:\Programme\TOSHIBA\PadTouch\PadExe.exe" [2004-02-12 10:44 1019904]
"AGRSMMSG"="AGRSMMSG.exe" [2004-02-21 05:00 88363 C:\WINDOWS\agrsmmsg.exe]
"CeEPOWER"="C:\Programme\TOSHIBA\Power Management\CePMTray.exe" [2004-08-18 09:21 135168]
"CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2004-08-06 14:14 643072]
"EzButton"="C:\Programme\EzButton\EzButton.EXE" [2004-07-07 15:25 712704]
"TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2004-07-28 15:23 53248]
"SmoothView"="C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2004-04-30 10:26 118784]
"ZoomingHook"="c:\WINDOWS\System32\ZoomingHook.exe" [2004-07-14 15:07 24576]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2006-03-30 14:46 71304]
"URLLSTCK.exe"="C:\Programme\Norton Internet Security\UrlLstCk.exe" [2004-01-20 17:00 70760]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2004-07-20 01:04 122939]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2006-02-07 13:35 100056]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 00:26 262401]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 08:41 282624]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 15:18 995328]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 15:13 1101824]
"FixCamera"="C:\WINDOWS\FixCamera.exe" [2007-02-10 16:40 20480]
"tsnpstd3"="C:\WINDOWS\tsnpstd3.exe" [ ]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2006-09-19 10:07 827392]
"mxomssmenu"="C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-09-06 14:53 169264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2005-10-26 16:52:31 82026]
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-09-27 15:23:57 110592]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-04-22 17:58:55 124400]
LRZ VPN Client.lnk - C:\Programme\LRZ VPN Client\vpngui.exe [2005-01-14 17:26:24 1470480]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]
RAMASST.lnk - C:\WINDOWS\system32\RAMASST.exe [2004-12-19 16:22:52 155648]
RMClock.lnk - C:\Programme\RMClock\RMClock.exe [2005-03-25 17:50:54 367616]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Vector_NTI\\Vector NTI 10.exe"=
"C:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe"=
"C:\\Spiele\\poc\\pocxxl\\bin\\pocxxl.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Tcl\\bin\\wish85.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 Maxtor Sync Service;Maxtor Service;C:\Programme\Maxtor\Sync\SyncServices.exe [2007-09-28 12:24]
R2 SweepNet;Sophos Anti-Virus Network;"C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE" [2005-04-22 19:28]
R3 RTCore;RTCore;C:\Programme\RMClock\RTCore.sys []
S3 InterCheck Control;InterCheck Control;C:\Programme\Sophos SWEEP for NT\icntdrv5.sys [2005-04-22 19:28]
S3 InterCheck Filter;InterCheck Filter;C:\Programme\Sophos SWEEP for NT\icntflt5.sys [2005-04-22 19:28]
S3 InterCheck Support 01;InterCheck Support 01;C:\Programme\Sophos SWEEP for NT\icntst01.sys [2005-04-22 19:28]
S3 InterCheck Support 02;InterCheck Support 02;C:\Programme\Sophos SWEEP for NT\icntst02.sys [2005-04-22 19:28]
S3 InterCheck Support 03;InterCheck Support 03;C:\Programme\Sophos SWEEP for NT\icntst03.sys [2005-04-22 19:28]
S3 InterCheck Support 04;InterCheck Support 04;C:\Programme\Sophos SWEEP for NT\icntst04.sys [2005-04-22 19:28]
S3 InterCheck Support 05;InterCheck Support 05;C:\Programme\Sophos SWEEP for NT\icntst05.sys [2005-04-22 19:28]
S3 InterCheck Support 06;InterCheck Support 06;C:\Programme\Sophos SWEEP for NT\icntst06.sys [2005-04-22 19:28]
S3 InterCheck Support 07;InterCheck Support 07;C:\Programme\Sophos SWEEP for NT\icntst07.sys [2005-04-22 19:28]
S3 InterCheck Support 08;InterCheck Support 08;C:\Programme\Sophos SWEEP for NT\icntst08.sys [2005-04-22 19:28]
S3 InterCheck Support 09;InterCheck Support 09;C:\Programme\Sophos SWEEP for NT\icntst09.sys [2005-04-22 19:28]
S3 InterCheck Support 10;InterCheck Support 10;C:\Programme\Sophos SWEEP for NT\icntst10.sys [2005-04-22 19:28]
S3 InterCheck Support 11;InterCheck Support 11;C:\Programme\Sophos SWEEP for NT\icntst11.sys [2005-04-22 19:28]
S3 InterCheck Support 12;InterCheck Support 12;C:\Programme\Sophos SWEEP for NT\icntst12.sys [2005-04-22 19:28]
S3 krdpdre;krdpdre;C:\DOKUME~1\Dorian\LOKALE~1\Temp\krdpdre.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8601d316-f08d-11dc-9778-000e3579286f}]
\Shell\AutoRun\command - .\Encryption Tool\MaxtorEncryption.exe

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2006-05-08 15:43:55 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-28 23:08:10
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-28 23:09:51
ComboFix-quarantined-files.txt 2008-04-28 22:09:33

13 Verzeichnis(se), 38,609,600,512 Bytes frei
16 Verzeichnis(se), 39,649,533,952 Bytes frei

154 --- E O F --- 2008-04-08 19:10:56















Hijack-log:

Logfile of HijackThis v1.99.1
Scan saved at 23:11:39, on 28.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Maxtor\Sync\SyncServices.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\EzButton\EzButton.EXE
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\RMClock\RMClock.exe
C:\Programme\RMClock\RMClockHLT.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Dorian\Desktop\Hijack\This.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: dpevflbg - {B21EAD36-EC0C-4B82-B102-1AB20B481977} - C:\WINDOWS\dpevflbg.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: RMClock.lnk = C:\Programme\RMClock\RMClock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = esrf.fr
O17 - HKLM\Software\..\Telephony: DomainName = esrf.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = esrf.fr
O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Programme\Vector_NTI\Ncbi.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Alt 28.04.2008, 23:40   #8
BataAlexander
> MalwareDB
 
Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster - Standard

Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster



Ist ein Uni Rechner, oder?

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
File::
C:\WINDOWS\dpevflbg.dll

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B21EAD36-EC0C-4B82-B102-1AB20B481977}"=-
[-HKEY_CLASSES_ROOT\clsid\{b21ead36-ec0c-4b82-b102-1ab20b481977}]
[-HKEY_CLASSES_ROOT\dpevflbg.1]
[-HKEY_CLASSES_ROOT\TypeLib\{DC33216E-1322-437E-9D55-2DD312F190C2}]
[-HKEY_CLASSES_ROOT\dpevflbg]
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.




6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann


Dann öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O3 - Toolbar: dpevflbg - {B21EAD36-EC0C-4B82-B102-1AB20B481977} - C:\WINDOWS\dpevflbg.dll

dann Klicke Fix Checked. Schließe HiJackThis.



Führe ein Java Update durch! Deinstalliere vorher alle alten Java Versionen (Systemsteuerung / Software). Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!

Nun ein neues HJt Logfile.

Alt 28.04.2008, 23:55   #9
Dorian77
 
Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster - Standard

Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster



Yo, mein Rechner war mal einige Zeit im Uninetz, wieso?

Neustart wollte er nicht. Trotzdem Hijack ausführen?


ComboFix.log:

ComboFix 08-04-27.3 - Dorian 2008-04-28 23:46:10.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.598 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Dorian\Desktop\ComboFix\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Dorian\Desktop\ComboFix\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\dpevflbg.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\_INST\_INSTALL.EXE
C:\WINDOWS\dpevflbg.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-28 bis 2008-04-28 ))))))))))))))))))))))))))))))
.

2008-04-28 22:32 . 2008-04-28 22:32 4,362 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-24 22:52 . 2008-04-24 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\TmpRecentIcons
2008-04-22 17:58 . 2008-04-28 20:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-04-13 22:34 . 2008-04-13 22:34 <DIR> d-------- C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\PlayFirst
2008-04-13 22:32 . 2008-04-13 22:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
2008-04-12 19:19 . 2008-04-12 19:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\55-5r-80-24-73-1s
2008-04-12 19:16 . 2008-04-12 19:16 <DIR> d-------- C:\Programme\GameHouse
2008-04-11 23:46 . 2008-04-22 18:36 <DIR> d-------- C:\Programme\Zylom Games
2008-04-11 23:46 . 2008-04-22 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\Zylom
2008-04-11 23:46 . 2008-04-11 23:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
2008-04-06 20:16 . 2008-04-06 20:16 <DIR> d-------- C:\Programme\ReflexiveArcade
2008-04-06 14:35 . 2008-04-06 14:35 <DIR> d-------- C:\Programme\Maxtor
2008-04-06 13:52 . 2008-04-06 13:53 <DIR> d-------- C:\Programme\Unlocker
2008-04-06 00:34 . 2008-04-06 00:34 <DIR> d--h----- C:\WINDOWS\PIF
2008-04-01 22:52 . 2008-04-07 22:10 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-01 22:52 . 2008-04-01 22:52 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-01 22:00 . 2008-04-01 22:00 <DIR> d-------- C:\WINDOWS\wt
2008-04-01 22:00 . 2008-04-01 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-28 22:39 --------- d-----w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\EndNote
2008-04-28 22:10 --------- d-----w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\Skype
2008-04-28 22:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-28 21:39 --------- d-----w C:\Programme\RMClock
2008-04-27 11:29 --------- d-----w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\skypePM
2008-04-22 16:58 --------- d-----w C:\Programme\Google
2008-04-21 17:14 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-04-06 13:12 --------- d-----w C:\Programme\Tcl
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-16 23:13 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-12 23:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Maxtor
2008-03-09 19:28 --------- d-----w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\gtk-2.0
2008-02-28 21:14 --------- d-----w C:\Programme\WinCoot
2008-02-28 21:04 --------- d-----w C:\Programme\CCP4-packages
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-17 23:42 290,816 ------w C:\WINDOWS\Setup1.exe
2008-02-16 08:59 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-01-28 23:11 21,361 ----a-w C:\WINDOWS\AegisP.sys
2008-01-25 22:51 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-06-24 11:52 30,056 ----a-w C:\Dokumente und Einstellungen\Dorian\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 15:04 65536]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-01 18:22 21898024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 20:10 339968]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-10-30 15:46 192512]
"PadTouch"="C:\Programme\TOSHIBA\PadTouch\PadExe.exe" [2004-02-12 10:44 1019904]
"AGRSMMSG"="AGRSMMSG.exe" [2004-02-21 05:00 88363 C:\WINDOWS\agrsmmsg.exe]
"CeEPOWER"="C:\Programme\TOSHIBA\Power Management\CePMTray.exe" [2004-08-18 09:21 135168]
"CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2004-08-06 14:14 643072]
"EzButton"="C:\Programme\EzButton\EzButton.EXE" [2004-07-07 15:25 712704]
"TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2004-07-28 15:23 53248]
"SmoothView"="C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2004-04-30 10:26 118784]
"ZoomingHook"="c:\WINDOWS\System32\ZoomingHook.exe" [2004-07-14 15:07 24576]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2006-03-30 14:46 71304]
"URLLSTCK.exe"="C:\Programme\Norton Internet Security\UrlLstCk.exe" [2004-01-20 17:00 70760]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2004-07-20 01:04 122939]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2006-02-07 13:35 100056]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 00:26 262401]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 08:41 282624]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 15:18 995328]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 15:13 1101824]
"FixCamera"="C:\WINDOWS\FixCamera.exe" [2007-02-10 16:40 20480]
"tsnpstd3"="C:\WINDOWS\tsnpstd3.exe" [ ]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2006-09-19 10:07 827392]
"mxomssmenu"="C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-09-06 14:53 169264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2005-10-26 16:52:31 82026]
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-09-27 15:23:57 110592]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-04-22 17:58:55 124400]
LRZ VPN Client.lnk - C:\Programme\LRZ VPN Client\vpngui.exe [2005-01-14 17:26:24 1470480]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]
RAMASST.lnk - C:\WINDOWS\system32\RAMASST.exe [2004-12-19 16:22:52 155648]
RMClock.lnk - C:\Programme\RMClock\RMClock.exe [2005-03-25 17:50:54 367616]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Vector_NTI\\Vector NTI 10.exe"=
"C:\\Programme\\SmartFTP Client 2.0\\SmartFTP.exe"=
"C:\\Spiele\\poc\\pocxxl\\bin\\pocxxl.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Tcl\\bin\\wish85.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 Maxtor Sync Service;Maxtor Service;C:\Programme\Maxtor\Sync\SyncServices.exe [2007-09-28 12:24]
R2 SweepNet;Sophos Anti-Virus Network;"C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE" [2005-04-22 19:28]
R3 RTCore;RTCore;C:\Programme\RMClock\RTCore.sys []
S3 InterCheck Control;InterCheck Control;C:\Programme\Sophos SWEEP for NT\icntdrv5.sys [2005-04-22 19:28]
S3 InterCheck Filter;InterCheck Filter;C:\Programme\Sophos SWEEP for NT\icntflt5.sys [2005-04-22 19:28]
S3 InterCheck Support 01;InterCheck Support 01;C:\Programme\Sophos SWEEP for NT\icntst01.sys [2005-04-22 19:28]
S3 InterCheck Support 02;InterCheck Support 02;C:\Programme\Sophos SWEEP for NT\icntst02.sys [2005-04-22 19:28]
S3 InterCheck Support 03;InterCheck Support 03;C:\Programme\Sophos SWEEP for NT\icntst03.sys [2005-04-22 19:28]
S3 InterCheck Support 04;InterCheck Support 04;C:\Programme\Sophos SWEEP for NT\icntst04.sys [2005-04-22 19:28]
S3 InterCheck Support 05;InterCheck Support 05;C:\Programme\Sophos SWEEP for NT\icntst05.sys [2005-04-22 19:28]
S3 InterCheck Support 06;InterCheck Support 06;C:\Programme\Sophos SWEEP for NT\icntst06.sys [2005-04-22 19:28]
S3 InterCheck Support 07;InterCheck Support 07;C:\Programme\Sophos SWEEP for NT\icntst07.sys [2005-04-22 19:28]
S3 InterCheck Support 08;InterCheck Support 08;C:\Programme\Sophos SWEEP for NT\icntst08.sys [2005-04-22 19:28]
S3 InterCheck Support 09;InterCheck Support 09;C:\Programme\Sophos SWEEP for NT\icntst09.sys [2005-04-22 19:28]
S3 InterCheck Support 10;InterCheck Support 10;C:\Programme\Sophos SWEEP for NT\icntst10.sys [2005-04-22 19:28]
S3 InterCheck Support 11;InterCheck Support 11;C:\Programme\Sophos SWEEP for NT\icntst11.sys [2005-04-22 19:28]
S3 InterCheck Support 12;InterCheck Support 12;C:\Programme\Sophos SWEEP for NT\icntst12.sys [2005-04-22 19:28]
S3 krdpdre;krdpdre;C:\DOKUME~1\Dorian\LOKALE~1\Temp\krdpdre.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8601d316-f08d-11dc-9778-000e3579286f}]
\Shell\AutoRun\command - .\Encryption Tool\MaxtorEncryption.exe

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2006-05-08 15:43:55 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-28 23:48:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-28 23:49:48
ComboFix-quarantined-files.txt 2008-04-28 22:49:21

13 Verzeichnis(se), 39,646,408,704 Bytes frei
16 Verzeichnis(se), 39,636,283,392 Bytes frei

155 --- E O F --- 2008-04-08 19:10:56

Alt 28.04.2008, 23:57   #10
BataAlexander
> MalwareDB
 
Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster - Standard

Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster



Sieht man an den installieretn Programmen, an der Domain und Sophos gibts auch nur für Unis und Firmen.

Zitat:
Neustart wollte er nicht. Trotzdem Hijack ausführen?
Wenn Du die anderen Schritte alle gemacht hast, ja!

Alt 29.04.2008, 00:07   #11
Dorian77
 
Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster - Standard

Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster



O3 - Toolbar: dpevflbg - {B21EAD36-EC0C-4B82-B102-1AB20B481977} - C:\WINDOWS\dpevflbg.dll

Sorry. diesen Eintrag gibts bei HJt nicht.
Was soll ich tun? Vorher manuell mal neustarten?

Muss ich Java unbedingt deinstallieren, bevor die neue Version raufkommt?

Alt 29.04.2008, 00:08   #12
BataAlexander
> MalwareDB
 
Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster - Standard

Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster



Zitat:
Sorry. diesen Eintrag gibts bei HJt nicht.
Mein Bug, haben wir ja mit CF gelöscht, sorry.

Zitat:
Muss ich Java unbedingt deinstallieren, bevor die neue Version raufkommt?
Ja, dies ist zwingend nötig, da Java alte Versionen nicht deinstalliert und Du sonst immer noch Gefahr läuft über die alten Versionen angreifbar zu sein.

Alt 29.04.2008, 00:35   #13
Dorian77
 
Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster - Standard

Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster



Sorry, der Java Download dauert anscheinend ziemlich lange. Wie gross ist Java denn? (uninstall war 135MB!). Bin mir auch nicht ganz sicher obs überhaupt funktioniert, nach ausführen der kleinen jxpiinstall.exe öffnet sich ein Fenster "Java Installer wird heruntergeladen". "Dies kann einige Minuten dauern" Dauert jetzt aber schon 10 Min. Habe meine Firewall runtergezogen und nochmal gestartet aber keine Änderung. Hast Du vielleicht eine brauchbare Idee?

Alt 29.04.2008, 00:36   #14
BataAlexander
> MalwareDB
 
Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster - Standard

Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster



Klick diesen Link mal an. 15,3 MB.

Alt 29.04.2008, 00:44   #15
Dorian77
 
Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster - Standard

Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster



Danke, der Installer scheint ja Mist zu sein. Java ist nun aktuell...

Neues HiJack-log:

Logfile of HijackThis v1.99.1
Scan saved at 00:41:47, on 29.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Maxtor\Sync\SyncServices.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\EzButton\EzButton.EXE
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\RMClock\RMClock.exe
C:\Programme\RMClock\RMClockHLT.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Dorian\Desktop\jxpiinstall.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Dorian\Desktop\Hijack\This.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [mxomssmenu] "C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: RMClock.lnk = C:\Programme\RMClock\RMClock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = esrf.fr
O17 - HKLM\Software\..\Telephony: DomainName = esrf.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = esrf.fr
O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - C:\Programme\Vector_NTI\Ncbi.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Programme\Maxtor\Sync\SyncServices.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Antwort

Themen zu Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster
antivir, avira, bho, desktop, drivers, ebay, einstellungen, entfernen, excel, frage, google, helper, hijackthis, internet, internet explorer, internet security, malware, registry, security, security center, software, spyware, symantec, system, windows xp, windows-tool, wmid, worm.win32.netbooster



Ähnliche Themen: Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster


  1. Benötige Hilfe beim Entschlüsseln
    Log-Analyse und Auswertung - 03.10.2012 (1)
  2. Benötige Rat beim Trojanersuche und beim entfernen
    Log-Analyse und Auswertung - 25.06.2012 (1)
  3. habe einen Worm.Win32.fujack.n, bitte um hilfe (inkl. hijackthis logdatei)
    Log-Analyse und Auswertung - 22.09.2009 (14)
  4. Hilfe worm win 32 netbooster loswerden
    Mülltonne - 06.10.2008 (0)
  5. Virus: worm.win32.netbooster
    Log-Analyse und Auswertung - 29.09.2008 (8)
  6. worm win32 netbooster
    Log-Analyse und Auswertung - 17.07.2008 (17)
  7. worm.win32.netbooster
    Mülltonne - 28.06.2008 (1)
  8. "your privacy is in danger" - worm.win32.netbooster - unerwünschte "Ultimate Cleaner"
    Log-Analyse und Auswertung - 01.05.2008 (1)
  9. benötige hilfe beim worm.win32.netbooster2
    Plagegeister aller Art und deren Bekämpfung - 26.04.2008 (6)
  10. Worm.Win32.NetBooster
    Mülltonne - 10.04.2008 (0)
  11. worm.win32.netsky virus-bitte hilfe ich bin ein noob am pc
    Log-Analyse und Auswertung - 17.03.2008 (28)
  12. Worm.Win32.NetSky Problem! Bitte um Hilfe?
    Plagegeister aller Art und deren Bekämpfung - 04.02.2008 (6)
  13. worm.win32.netsky <- Hilfe bitte.
    Plagegeister aller Art und deren Bekämpfung - 04.02.2008 (1)
  14. Benötige hilfe beim PC meiner Freundin
    Log-Analyse und Auswertung - 04.08.2007 (1)
  15. EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE!
    Log-Analyse und Auswertung - 26.11.2006 (6)
  16. Benötige Hilfe beim entfernen von TR/Dldr.Peerat.A
    Log-Analyse und Auswertung - 31.07.2005 (3)
  17. benötige hilfe beim fixen
    Log-Analyse und Auswertung - 16.12.2004 (6)

Zum Thema Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster - Liebes Team, habe mir leider den worm.win32.netbooster eingefangen (Symptome analog zu "Spyware, fieser Virus-Windows Security Alert" von B33N_1991). Habe das neueste Windows-Tool zum entfernen schädlicher Software von MS laufen lassen. - Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster...
Archiv
Du betrachtest: Benötige bitte Hilfe beim kompletten Entfernen von worm.win32.netbooster auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.