IE öffnet automatisch Spyware Seiten

furdi · 27.05.2008, 19:51

kann die Datei (C:\WINDOWS\atip.exe) trotz allem Bemühen nicht finden

**Sunny** · 27.05.2008, 19:55

Zitat:

Zitat von furdi

kann die Datei trotz allem Bemühen nicht finden

Dann fahre mit dem nächsten Schritt fort..

furdi · 27.05.2008, 21:02

Hier die Reports

ComboFix 08-05-26.2 - Martin 2008-05-27 21:33:30.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.527 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Martin\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Martin\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\rs.txt
c:\windows\system32\Drivers\Uae61.sys
C:\WINDOWS\system32\jerobafk.ini
C:\WINDOWS\system32\LVyJkUvw.ini
C:\WINDOWS\system32\LVyJkUvw.ini2
C:\WINDOWS\system32\mbwiaugl.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\vxmevjps.ini
C:\WINDOWS\system32\WLCtrl32.dl_
C:\WINDOWS\system32\WLCtrl32.dll
C:\WINDOWS\system32\wvUkJyVL.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Legacy_UAE61
-------\Service_NPF
-------\Service_Uae61

((((((((((((((((((((((( Dateien erstellt von 2008-04-27 bis 2008-05-27 ))))))))))))))))))))))))))))))
.

2008-05-27 19:55 . 2008-05-27 19:55 <DIR> d-------- C:\Dokumente und Einstellungen\SmitfraudFix\backups
2008-05-27 19:50 . 2008-05-27 19:55 <DIR> d-------- C:\Dokumente und Einstellungen\SmitfraudFix
2008-05-27 19:50 . 2008-05-06 22:37 1,767,284 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\SmitfraudFix.cmd
2008-05-27 19:50 . 2007-09-06 00:22 289,144 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\VCCLSID.exe
2008-05-27 19:50 . 2006-04-27 17:49 288,417 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\SrchSTS.exe
2008-05-27 19:50 . 2006-09-15 00:34 167,936 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\unzip.exe
2008-05-27 19:50 . 2006-08-29 19:43 135,168 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\swreg.exe
2008-05-27 19:50 . 2008-05-15 23:22 86,528 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\VACFix.exe
2008-05-27 19:50 . 2008-04-28 08:03 82,944 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\IEDFix.exe
2008-05-27 19:50 . 2007-06-09 21:04 82,432 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\GenericRenosFix.exe
2008-05-27 19:50 . 2008-04-22 20:39 81,920 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\404Fix.exe
2008-05-27 19:50 . 2006-12-01 06:20 79,360 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\swxcacls.exe
2008-05-27 19:50 . 2007-03-28 18:38 77,824 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\HostsChk.exe
2008-05-27 19:50 . 2008-03-02 23:38 77,312 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\UIFix.exe
2008-05-27 19:50 . 2003-06-05 21:13 53,248 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\Process.exe
2008-05-27 19:50 . 2004-07-31 18:50 51,200 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\dumphive.exe
2008-05-27 19:50 . 2006-01-09 10:36 40,960 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\swsc.exe
2008-05-27 19:50 . 2007-10-04 00:36 25,600 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\WS2Fix.exe
2008-05-27 19:50 . 2005-01-13 21:41 24,576 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\Reboot.exe
2008-05-27 19:50 . 2006-09-19 22:13 20,480 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\SmiUpdate.exe
2008-05-27 19:50 . 2006-03-07 22:45 16,384 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\restart.exe
2008-05-27 19:50 . 2007-08-21 08:00 1,536 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\exit.exe
2008-05-27 19:47 . 2008-05-15 23:32 1,390,340 --a------ C:\Dokumente und Einstellungen\SmitfraudFix.exe
2008-05-26 21:52 . 2008-05-26 21:52 90,112 --a------ C:\WINDOWS\system32\kfaborej.dll
2008-05-16 17:29 . 2008-05-27 19:53 2,920 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-16 07:24 . 2008-05-16 07:26 10,752 --a------ C:\WINDOWS\DCEBoot.exe
2008-05-16 07:23 . 2008-05-16 07:23 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen
2008-05-16 07:13 . 2008-05-16 07:13 <DIR> d-------- C:\WINDOWS\AVM_Driver
2008-05-16 07:13 . 2008-05-16 07:13 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\AVM_Driver
2008-05-16 07:03 . 2008-05-02 16:22 205,328 --a------ C:\WINDOWS\system32\drivers\tmxpflt.sys
2008-05-16 07:03 . 2008-05-02 16:21 36,368 --a------ C:\WINDOWS\system32\drivers\tmpreflt.sys
2008-05-16 07:02 . 2008-05-16 07:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trend Micro
2008-05-16 07:02 . 2008-05-02 16:17 1,169,240 --a------ C:\WINDOWS\system32\drivers\vsapint.sys
2008-05-16 07:02 . 2007-03-07 23:17 288,848 --a------ C:\WINDOWS\system32\drivers\TM_CFW.sys
2008-05-16 07:02 . 2007-03-07 23:17 111,888 --a------ C:\WINDOWS\system32\drivers\tm_mbd_c.sys
2008-05-16 07:02 . 2007-03-07 23:17 75,088 --a------ C:\WINDOWS\system32\drivers\tmtdi.sys
2008-05-16 07:00 . 2008-05-16 07:00 <DIR> d-------- C:\Programme\Trend Micro
2008-05-16 06:40 . 2008-05-16 06:40 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\TmpRecentIcons
2008-05-15 20:45 . 2008-05-15 17:41 94,208 --a------ C:\WINDOWS\exqb.exe
2008-05-15 20:45 . 2008-05-15 17:41 81,920 --a------ C:\WINDOWS\oadkxrts.exe
2008-05-15 20:44 . 2008-05-15 20:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
2008-05-14 13:07 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-27 19:26 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Orbit
2008-05-16 05:13 --------- d-----w C:\Programme\avmwlanstick
2008-05-16 04:53 --------- d-----w C:\Programme\Symantec
2008-05-16 04:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-05-16 04:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-05-14 11:08 --------- d-----w C:\Dokumente und Einstellungen\Katja\Anwendungsdaten\Orbit
2008-05-14 11:07 --------- d-----w C:\Programme\Java
2008-04-09 18:06 77,728 ----a-w C:\WINDOWS\system32\drivers\snapman.sys
2008-04-09 18:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis
2008-04-08 21:40 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Free Download Manager
2008-04-08 19:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
2008-04-08 16:44 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\vlc
2008-03-30 09:27 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AdobeUM
2008-03-29 18:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-03-09 16:42 50,264 ----a-w C:\Dokumente und Einstellungen\Katja\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-03-07 14:01 50,264 ----a-w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"WinFaxAppPortStarter"="wfxsnt40.exe" [2000-02-17 16:11 43008 C:\WINDOWS\system32\WFXSNT40.EXE]
"Corel Reminder"="" []
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-11-28 21:34 180269]
"Acrobat Assistant 7.0"="D:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 21:52 483328]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22 517768]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 17:26 283136]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-04-25 22:05 311296]
"pccguide.exe"="C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe" [2007-03-07 23:17 3434000]
"54ab26b6"="C:\WINDOWS\system32\kfaborej.dll" [2008-05-26 21:52 90112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{A213B520-C6C2-11d0-AF9D-008029E1027E}"= D:\Programme\Symantec\WinFax\WfxSeh32.Dll [1998-07-27 05:54 38400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvUnNhGW]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"H:\\utorrent.exe"=
"D:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"D:\\Programme\\Orbitdownloader\\orbitnet.exe"=

R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2003-07-11 14:22]
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2006-09-08 15:47]
R2 BBDemon;Backbone Service;D:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe [2004-05-08 09:56]
R2 wfxsvc;WinFax PRO;C:\WINDOWS\system32\WFXSVC.EXE [2000-03-07 16:38]
R3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2004-08-04 00:38]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02]
S3 ati2mpaa;ati2mpaa;C:\WINDOWS\system32\DRIVERS\ati2mpaa.sys [2001-08-18 05:19]
S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" [2006-10-23 04:39]
S3 nenum13E;nenum13E;C:\DOKUME~1\Martin\LOKALE~1\Temp\nenum13E.sys []

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 21:39:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\avmwlanstick\WLanNetService.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-27 21:42:59 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-27 19:42:55

6 Verzeichnis(se), 2,057,478,144 Bytes frei
10 Verzeichnis(se), 2,366,115,840 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

173 --- E O F --- 2008-05-14 21:01:09

SmitFraudFix v2.320

Scan done at 19:53:03,47, 27.05.2008
Run from C:\Dokumente und Einstellungen\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

127.0.0.1 Sophos - anti-virus and anti-spam software for businesses

127.0.0.1 McAfee - Antivirus Software and Intrusion Prevention Solutions
127.0.0.1 mcafee.com
127.0.0.1 Viruslist.com - Information About Viruses, Hackers and Spam
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 Antivirus and intrusion prevention solutions for home users and businesses
127.0.0.1 kaspersky.com
127.0.0.1 127.0.0.1
127.0.0.1 McAfee - Antivirus Software and Intrusion Prevention Solutions
127.0.0.1 networkassociates.com
127.0.0.1 IT management software and solutions from CA
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 Home and Home Office Store
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 Antivirus Software and Intrusion Prevention Solutions
127.0.0.1 us.mcafee.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 Antivirus und Content-Security Software für Unternehmen und Privatanwender - Trend Micro Deutschland

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6B9B708F-D038-4078-ABCF-ACD4EDF0E5EF}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6B9B708F-D038-4078-ABCF-ACD4EDF0E5EF}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6B9B708F-D038-4078-ABCF-ACD4EDF0E5EF}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

furdi · 28.05.2008, 14:40

hatte nach der Aktion gestern Abend keine weiteren unerwünschten Seitenaufrufe, wäre trotzdem dankbar, wenn mir jemand sagen könnte ob mein System nun clean ist.

**Sunny** · 28.05.2008, 16:52

Dateien Online überprüfen lassen:

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

lass auch die versteckten Dateien anzeigen!

Zitat:

C:\WINDOWS\DCEBoot.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvUnNhGW]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"54ab26b6"=-


FILE::
C:\WINDOWS\system32\kfaborej.dll
C:\WINDOWS\system32\tmp.reg

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

furdi · 28.05.2008, 19:16

So, habe nun alle Arbeiten erledigt. Hoffentlich war's die Mühe wert

Hier die Ergebnisse:

Datei DCEBoot.exe empfangen 2008.05.28 18:39:58 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/32 (0%)

File size: 10752 bytes
MD5...: 418b55d63e00d953a1532a831308574e
SHA1..: 39bc1fe133076312f9c636b16ebc3be960208f45
SHA256: cc6e7f0ea5d161b61df80de8061b75dc892d6ca15208c5b8639b3ad1ba9e26a0
SHA512: ce9f74569e7a649132ff3c21bf5863a911cda429dce74985680d9d9f985648a9
db5b32d72643235538bae1bf66fdb6912320efd1ac087b40f3579473c64a7009
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100284e
timedatestamp.....: 0x47383997 (Mon Nov 12 11:31:35 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1cfa 0x1e00 6.17 0dff19229a2d4de5cd2fb4651c3abd4b
.data 0x3000 0x519 0x600 7.11 d09c70e16152458497a14fa274af6478
.reloc 0x4000 0xfe 0x200 3.21 78039044715f3386a92b8a6584a9cd4c

( 1 imports )
> ntdll.dll: NtWriteFile, NtReadFile, NtCreateFile, NtQueryInformationFile, NtSetInformationFile, NtClose, ZwSetInformationFile, NtDeleteFile, NtOpenKey, NtQueryValueKey, NtSetValueKey, RtlFreeUnicodeString, RtlAnsiStringToUnicodeString, RtlInitAnsiString, RtlInitUnicodeString, RtlCreateHeap, strncpy, memset, RtlDestroyHeap, RtlFreeHeap, RtlDosPathNameToNtPathName_U, RtlAllocateHeap, NtDisplayString, _snprintf, RtlTimeToTimeFields, RtlSystemTimeToLocalTime, NtQuerySystemTime, _vsnprintf, RtlAdjustPrivilege, memmove, NtTerminateProcess

( 0 exports )

ComboFix 08-05-26.2 - Martin 2008-05-28 18:42:06.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.644 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Martin\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Martin\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\WINDOWS\system32\kfaborej.dll
C:\WINDOWS\system32\tmp.reg
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\jerobafk.ini
C:\WINDOWS\system32\kfaborej.dll
C:\WINDOWS\system32\tmp.reg

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-28 ))))))))))))))))))))))))))))))
.

2008-05-27 19:55 . 2008-05-27 19:55 <DIR> d-------- C:\Dokumente und Einstellungen\SmitfraudFix\backups
2008-05-27 19:50 . 2008-05-27 19:55 <DIR> d-------- C:\Dokumente und Einstellungen\SmitfraudFix
2008-05-27 19:50 . 2008-05-06 22:37 1,767,284 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\SmitfraudFix.cmd
2008-05-27 19:50 . 2007-09-06 00:22 289,144 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\VCCLSID.exe
2008-05-27 19:50 . 2006-04-27 17:49 288,417 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\SrchSTS.exe
2008-05-27 19:50 . 2006-09-15 00:34 167,936 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\unzip.exe
2008-05-27 19:50 . 2006-08-29 19:43 135,168 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\swreg.exe
2008-05-27 19:50 . 2008-05-15 23:22 86,528 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\VACFix.exe
2008-05-27 19:50 . 2008-04-28 08:03 82,944 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\IEDFix.exe
2008-05-27 19:50 . 2007-06-09 21:04 82,432 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\GenericRenosFix.exe
2008-05-27 19:50 . 2008-04-22 20:39 81,920 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\404Fix.exe
2008-05-27 19:50 . 2006-12-01 06:20 79,360 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\swxcacls.exe
2008-05-27 19:50 . 2007-03-28 18:38 77,824 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\HostsChk.exe
2008-05-27 19:50 . 2008-03-02 23:38 77,312 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\UIFix.exe
2008-05-27 19:50 . 2003-06-05 21:13 53,248 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\Process.exe
2008-05-27 19:50 . 2004-07-31 18:50 51,200 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\dumphive.exe
2008-05-27 19:50 . 2006-01-09 10:36 40,960 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\swsc.exe
2008-05-27 19:50 . 2007-10-04 00:36 25,600 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\WS2Fix.exe
2008-05-27 19:50 . 2005-01-13 21:41 24,576 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\Reboot.exe
2008-05-27 19:50 . 2006-09-19 22:13 20,480 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\SmiUpdate.exe
2008-05-27 19:50 . 2006-03-07 22:45 16,384 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\restart.exe
2008-05-27 19:50 . 2007-08-21 08:00 1,536 --a------ C:\Dokumente und Einstellungen\SmitfraudFix\exit.exe
2008-05-27 19:47 . 2008-05-15 23:32 1,390,340 --a------ C:\Dokumente und Einstellungen\SmitfraudFix.exe
2008-05-16 07:24 . 2008-05-16 07:26 10,752 --a------ C:\WINDOWS\DCEBoot.exe
2008-05-16 07:23 . 2008-05-16 07:23 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen
2008-05-16 07:13 . 2008-05-16 07:13 <DIR> d-------- C:\WINDOWS\AVM_Driver
2008-05-16 07:13 . 2008-05-16 07:13 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\AVM_Driver
2008-05-16 07:03 . 2008-05-02 16:22 205,328 --a------ C:\WINDOWS\system32\drivers\tmxpflt.sys
2008-05-16 07:03 . 2008-05-02 16:21 36,368 --a------ C:\WINDOWS\system32\drivers\tmpreflt.sys
2008-05-16 07:02 . 2008-05-16 07:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trend Micro
2008-05-16 07:02 . 2008-05-02 16:17 1,169,240 --a------ C:\WINDOWS\system32\drivers\vsapint.sys
2008-05-16 07:02 . 2007-03-07 23:17 288,848 --a------ C:\WINDOWS\system32\drivers\TM_CFW.sys
2008-05-16 07:02 . 2007-03-07 23:17 111,888 --a------ C:\WINDOWS\system32\drivers\tm_mbd_c.sys
2008-05-16 07:02 . 2007-03-07 23:17 75,088 --a------ C:\WINDOWS\system32\drivers\tmtdi.sys
2008-05-16 07:00 . 2008-05-16 07:00 <DIR> d-------- C:\Programme\Trend Micro
2008-05-16 06:40 . 2008-05-16 06:40 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\TmpRecentIcons
2008-05-15 20:45 . 2008-05-15 17:41 94,208 --a------ C:\WINDOWS\exqb.exe
2008-05-15 20:45 . 2008-05-15 17:41 81,920 --a------ C:\WINDOWS\oadkxrts.exe
2008-05-15 20:44 . 2008-05-15 20:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
2008-05-14 13:07 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-28 16:38 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Orbit
2008-05-16 05:13 --------- d-----w C:\Programme\avmwlanstick
2008-05-16 04:53 --------- d-----w C:\Programme\Symantec
2008-05-16 04:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-05-16 04:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-05-14 11:08 --------- d-----w C:\Dokumente und Einstellungen\Katja\Anwendungsdaten\Orbit
2008-05-14 11:07 --------- d-----w C:\Programme\Java
2008-04-09 18:06 77,728 ----a-w C:\WINDOWS\system32\drivers\snapman.sys
2008-04-09 18:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis
2008-04-08 21:40 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Free Download Manager
2008-04-08 19:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
2008-04-08 16:44 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\vlc
2008-03-30 09:27 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AdobeUM
2008-03-29 18:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-03-09 16:42 50,264 ----a-w C:\Dokumente und Einstellungen\Katja\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-03-07 14:01 50,264 ----a-w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-05-27_21.42.38.86 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-27 19:38:05 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-28 16:44:46 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-27 18:02:18 72,490 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-05-28 16:33:47 72,490 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-05-27 18:02:18 59,780 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-05-28 16:33:47 59,780 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-05-27 18:02:18 411,266 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-05-28 16:33:47 411,266 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-05-27 18:02:18 397,560 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-05-28 16:33:47 397,560 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"WinFaxAppPortStarter"="wfxsnt40.exe" [2000-02-17 16:11 43008 C:\WINDOWS\system32\WFXSNT40.EXE]
"Corel Reminder"="" []
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-11-28 21:34 180269]
"Acrobat Assistant 7.0"="D:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 21:52 483328]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22 517768]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 17:26 283136]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-04-25 22:05 311296]
"pccguide.exe"="C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe" [2007-03-07 23:17 3434000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{A213B520-C6C2-11d0-AF9D-008029E1027E}"= D:\Programme\Symantec\WinFax\WfxSeh32.Dll [1998-07-27 05:54 38400]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"H:\\utorrent.exe"=
"D:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"D:\\Programme\\Orbitdownloader\\orbitnet.exe"=

R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2003-07-11 14:22]
R3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2004-08-04 00:38]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 01:02]
S3 ati2mpaa;ati2mpaa;C:\WINDOWS\system32\DRIVERS\ati2mpaa.sys [2001-08-18 05:19]
S3 nenum13E;nenum13E;C:\DOKUME~1\Martin\LOKALE~1\Temp\nenum13E.sys []

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-28 18:46:29
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\avmwlanstick\WLanNetService.exe
D:\Programme\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\system32\WFXSVC.EXE
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-28 18:49:32 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-28 16:49:28
ComboFix2.txt 2008-05-27 19:43:00

7 Verzeichnis(se), 2,258,358,272 Bytes frei
9 Verzeichnis(se), 2,336,874,496 Bytes frei

162 --- E O F --- 2008-05-14 21:01:09

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 794

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Objekte gescannt: 232017
Scan Dauer: 1 hour(s), 10 minute(s), 8 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 6
Infizierte Dateien: 9

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Adsl Software Limited (Rogue.MalWarrior) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited (Rogue.MalWarrior) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008 (Rogue.MalWarrior) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\BASE (Rogue.MalWarrior) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\DELETED (Rogue.MalWarrior) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\LOG (Rogue.MalWarrior) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\SAVED (Rogue.MalWarrior) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\System Volume Information\_restore{E9D16859-E8EC-4009-9142-4CA18BF8DB72}\RP228\A0059699.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9D16859-E8EC-4009-9142-4CA18BF8DB72}\RP229\A0060218.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E9D16859-E8EC-4009-9142-4CA18BF8DB72}\RP229\A0060512.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\exqb.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\LOG\20080516064054245.log (Rogue.MalWarrior) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\LOG\20080516065646556.log (Rogue.MalWarrior) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\LOG\20080516071154809.log (Rogue.MalWarrior) -> Quarantined and deleted successfully.
C:\WINDOWS\oadkxrts.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Explorer.EXE.Z-missing.txt (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

**Sunny** · 28.05.2008, 20:10

Dein System sollte, sofern du keine Probleme mehr zu verzeichnen hast, wieder sauber sein.

Nur noch folgendes:
Start -> Ausführen -> folgendes eintippen -> combofix /u (danach ENTER-TASTE!)

IE öffnet automatisch Spyware Seiten

Log-Analyse und Auswertung: IE öffnet automatisch Spyware Seiten