ebenfalls VIRUS ALERT

Halli_G · 09.07.2008, 21:27

Sorry. Ich weiß nicht was ich unter deinem Link runterladen soll.

Habe nun auch nochmal combofix laufen lassen.

hier das Logfile.

Code:

ATTFilter

ComboFix 08-07-02.5 - *** 2008-07-09 21:46:33.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.412 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\p2.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
 * Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Martin Hagner\Lokale Einstellungen\Temporary Internet Files\sc
C:\WINDOWS\cookies.ini
C:\WINDOWS\ekld.exe
C:\WINDOWS\system32\aemqnuxc.ini
C:\WINDOWS\system32\clbdll.dll
C:\WINDOWS\system32\clbinit.dll
C:\WINDOWS\system32\cyvknavo.ini
C:\WINDOWS\system32\FgijkUtv.ini2
C:\WINDOWS\system32\GOnqrBeg.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\sysdm.exe
C:\WINDOWS\system32\vFehPqru.ini2
C:\WINDOWS\system32\vgvktmum.ini
C:\WINDOWS\system32\WENnmnpo.ini
C:\WINDOWS\system32\WENnmnpo.ini2
C:\WINDOWS\system32\wpjpmdaw.ini

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CLBDRIVER
-------\Service_clbdriver


(((((((((((((((((((((((   Dateien erstellt von 2008-06-09 bis 2008-07-09  ))))))))))))))))))))))))))))))
.

2008-07-09 22:07 . 2008-07-09 22:07	294	---hs----	C:\WINDOWS\system32\cyvknavo.ini
2008-07-09 21:34 . 2008-07-09 21:34	89,088	--a------	C:\WINDOWS\system32\ovankvyc.dll
2008-07-09 21:32 . 2008-07-09 21:32	112,256	--a------	C:\WINDOWS\system32\uposdxmw.dll
2008-07-09 21:32 . 2008-07-09 21:32	112,256	--a------	C:\WINDOWS\system32\hqstnc.dll
2008-07-09 00:02 . 2008-07-09 00:02	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-07-09 00:02 . 2008-07-09 00:02	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-07-09 00:02 . 2008-07-09 00:02	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-09 00:02 . 2008-06-28 14:16	34,296	--a------	C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-09 00:02 . 2008-06-28 14:16	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-07-08 23:44 . 2007-09-06 00:22	289,144	--a------	C:\WINDOWS\system32\VCCLSID.exe
2008-07-08 23:44 . 2008-05-29 09:35	86,528	--a------	C:\WINDOWS\system32\VACFix.exe
2008-07-08 23:44 . 2008-05-18 21:40	82,944	--a------	C:\WINDOWS\system32\IEDFix.exe
2008-07-08 23:44 . 2008-07-02 13:33	82,432	--a------	C:\WINDOWS\system32\IEDFix.C.exe
2008-07-08 23:44 . 2008-05-23 18:21	81,920	--a------	C:\WINDOWS\system32\404Fix.exe
2008-07-08 23:44 . 2007-10-04 00:36	25,600	--a------	C:\WINDOWS\system32\WS2Fix.exe
2008-07-08 19:12 . 2008-07-09 08:23	88,576	---------	C:\WINDOWS\system32\bmxqsgei.dll
2008-07-03 19:58 . 2008-07-03 19:58	<DIR>	d--------	C:\Programme\CCleaner
2008-07-03 18:54 . 2006-04-27 17:49	288,417	--a------	C:\WINDOWS\system32\SrchSTS.exe
2008-07-03 18:54 . 2003-06-05 21:13	53,248	--a------	C:\WINDOWS\system32\Process.exe
2008-07-03 18:54 . 2004-07-31 18:50	51,200	--a------	C:\WINDOWS\system32\dumphive.exe
2008-07-03 18:46 . 2008-07-03 18:46	268	--a------	C:\WINDOWS\6.tmp
2008-07-01 23:06 . 2008-07-01 23:06	278	--a------	C:\WINDOWS\3.tmp
2008-06-29 18:08 . 2008-07-03 22:02	0	--a------	C:\WINDOWS\system32\opnmnNEW.dll.$$$
2008-06-29 14:03 . 2008-06-29 14:03	317,696	--a------	C:\WINDOWS\system32\geBrqnOG.dll.bak
2008-06-29 14:02 . 2008-06-29 14:02	278	--a------	C:\WINDOWS\8.tmp
2008-06-28 18:02 . 2008-06-28 18:02	318,720	--a------	C:\WINDOWS\system32\urqPheFv.dll.bak
2008-06-28 17:48 . 2008-07-03 22:02	0	--a------	C:\WINDOWS\system32\khfGwuSi.dll.$$$
2008-06-28 16:44 . 2008-06-28 16:44	318,720	--a------	C:\WINDOWS\system32\vtUkjigF.dll.bak
2008-06-28 15:10 . 2008-06-28 15:10	318,720	--a------	C:\WINDOWS\system32\opnmnNEW.dll.bak
2008-06-28 15:10 . 2008-06-28 15:10	318,720	---------	C:\WINDOWS\system32\opnmnNEW.dll
2008-06-28 15:05 . 2008-06-28 15:05	28,288	---------	C:\WINDOWS\system32\khfGwuSi.dll
2008-06-28 15:05 . 2003-04-02 14:00	4,224	--a------	C:\WINDOWS\system32\beep.sys
2008-06-27 18:15 . 2008-06-27 18:15	278	--a------	C:\WINDOWS\7.tmp
2008-06-17 21:58 . 2008-06-17 21:58	<DIR>	d--------	C:\Programme\Zattoo
2008-06-10 22:00 . 2008-06-14 19:57	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 22:00 . 2008-05-08 14:28	202,752	-----c---	C:\WINDOWS\system32\dllcache\rmcast.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-08 17:24	---------	d-----w	C:\Programme\DivX
2008-06-14 17:57	273,024	------w	C:\WINDOWS\system32\drivers\bthport.sys
2004-10-01 14:00	40,960	----a-w	C:\Programme\Uninstall_CDS.exe
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CF6C07D6-BC64-4C28-BD3B-D063A6809B18}]
2008-06-28 15:10	318720	---------	C:\WINDOWS\system32\opnmnNEW.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D2EEB637-A4A5-4BBB-8C0C-96AF821110C2}]
2008-06-28 15:05	28288	---------	C:\WINDOWS\system32\khfGwuSi.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e894d498-4c0c-48b4-a8f8-3c7409e584d6}]
2008-07-09 21:32	112256	--a------	C:\WINDOWS\system32\hqstnc.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-03 08:16 401491]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BDMCon"="c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe" [2004-03-01 15:41 229376]
"BDNewsAgent"="c:\programme\softwin\bitdefender professional edition\bdnagent.exe" [2004-04-20 17:00 4608]
"BDSwitchAgent"="C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe" [2006-03-21 00:38 53248]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-01-06 18:33 131584]
"b8469b5f"="C:\WINDOWS\system32\ovankvyc.dll" [2008-07-09 21:34 89088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-03 08:16 401491]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{D2EEB637-A4A5-4BBB-8C0C-96AF821110C2}"= "C:\WINDOWS\system32\khfGwuSi.dll" [2008-06-28 15:05 28288]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfGwuSi]
2008-06-28 15:05 28288 C:\WINDOWS\system32\khfGwuSi.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm
"SENTINEL"= snti386.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
-ra------ 2007-03-01 11:37 2321600 C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Anti-Blaxx Manager]
--a------ 2005-10-26 17:35 225280 C:\Programme\Anti-Blaxx 1.18\Anti-Blaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a------ 2004-04-21 22:10 335872 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2005-11-09 00:00 128920 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2006-11-24 01:06 487424 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"C:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\orbixd.exe"=
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\CNEXT.exe"=
"G:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"G:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo2.exe"=

R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\drivers\si3112r.sys [2004-05-12 16:01]
R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys [2003-10-15 13:28]
R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2006-10-13 23:53]
R2 BBDemon;Backbone Service;"C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe" -service []
R2 FILESpy;FILESpy;C:\Programme\Softwin\BitDefender Professional Edition\filespy.sys [2004-05-07 18:47]
R2 Remote Solver for COSMOSFloWorks 2007;Remote Solver for COSMOSFloWorks 2007;C:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe [2007-04-02 12:39]
S2 LogPem;LogPem;"C:\Programme\Gemeinsame Dateien\Microsoft Shared\LoK.exe" [2008-07-09 22:07]
S3 se44bus;Sony Ericsson Device 068 driver (WDM);C:\WINDOWS\system32\DRIVERS\se44bus.sys [2006-11-30 15:58]
S3 se44mdfl;Sony Ericsson Device 068 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se44mdfl.sys [2006-11-30 15:58]
S3 se44mdm;Sony Ericsson Device 068 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se44mdm.sys [2006-11-30 15:58]
S3 se44mgmt;Sony Ericsson Device 068 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se44mgmt.sys [2006-11-30 15:58]
S3 se44nd5;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (NDIS);C:\WINDOWS\system32\DRIVERS\se44nd5.sys [2006-11-30 15:58]
S3 se44obex;Sony Ericsson Device 068 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se44obex.sys [2006-11-30 15:58]
S3 se44unic;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (WDM);C:\WINDOWS\system32\DRIVERS\se44unic.sys [2006-11-30 15:58]

.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-iconcache - (no file)
MSConfigStartUp-updateMgr - C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-09 22:07:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

C:\WINDOWS\explorer.exe [1772] 0x86066928

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll
-> C:\WINDOWS\system32\khfGwuSi.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\ovankvyc.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
C:\Programme\MATLAB7\bin\win32\MATLAB.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\Programme\Softwin\BitDefender Professional Edition\bdmcon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\NETGEAR\WG311T\wlancfg5.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-09 22:20:47 - machine was rebooted
ComboFix-quarantined-files.txt  2008-07-09 20:20:34

              10 Verzeichnis(se), 101,925,285,888 Bytes frei
              14 Verzeichnis(se), 102,821,261,312 Bytes frei

192	--- E O F ---	2008-06-22 17:58:49

myrtille · 09.07.2008, 22:41

Mein Fehler.

In dem Link war gar kein Link.

Wir machen erstmal mit Folgenden weiter:
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

file::
C:\WINDOWS\system32\cyvknavo.ini
C:\WINDOWS\system32\ovankvyc.dll
C:\WINDOWS\system32\uposdxmw.dll
C:\WINDOWS\system32\hqstnc.dll
C:\WINDOWS\system32\VACFix.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\IEDFix.C.exe
C:\WINDOWS\system32\404Fix.exe
C:\WINDOWS\system32\WS2Fix.exe
C:\WINDOWS\system32\bmxqsgei.dll
C:\WINDOWS\system32\SrchSTS.exe
C:\WINDOWS\system32\Process.exe
C:\WINDOWS\6.tmp
C:\WINDOWS\3.tmp
C:\WINDOWS\system32\opnmnNEW.dll.$$$
C:\WINDOWS\system32\geBrqnOG.dll.bak
C:\WINDOWS\8.tmp
C:\WINDOWS\system32\urqPheFv.dll.bak
C:\WINDOWS\system32\khfGwuSi.dll.$$$
C:\WINDOWS\system32\vtUkjigF.dll.bak
C:\WINDOWS\system32\opnmnNEW.dll.bak
C:\WINDOWS\system32\opnmnNEW.dll
C:\WINDOWS\system32\khfGwuSi.dll
C:\WINDOWS\system32\beep.sys
C:\WINDOWS\7.tmp
C:\Programme\Uninstall_CDS.exe



registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CF6C07D6-BC64-4C28-BD3B-D063A6809B18}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D2EEB637-A4A5-4BBB-8C0C-96AF821110C2}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e894d498-4c0c-48b4-a8f8-3c7409e584d6}]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfGwuSi]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"b8469b5f"=-

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{D2EEB637-A4A5-4BBB-8C0C-96AF821110C2}"=-

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms (WICHTIG!) und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Erstelle anschließend noch ein Log mit DSS, so gehts dann auch besser:

DSS

Lade dir DSS
Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
Führe während DSS arbeitet bitte keine anderen Aktionen durch
Am Ende öffnen sich 2 Datein main.txt und extra.txt
Poste den Inhalt beider Dateien hier

lg myrtille

ebenfalls VIRUS ALERT

Plagegeister aller Art und deren Bekämpfung: ebenfalls VIRUS ALERT

ebenfalls VIRUS ALERT

ebenfalls VIRUS ALERT

Ähnliche Themen: ebenfalls VIRUS ALERT