Antivir XP 2008 wieder mal einen erwischt

KimOle · 11.08.2008, 20:28

Hallo an die Experten!
Auch mich hat der Virus erwischt, einen Freund drangelassen und nach einer Stunde hatte der Computer den Virus XP Virus 2008...

Dank DaGuRu Tipp habe ich Malware installiert und Scan durchgeführt, alles Gefundene gelöscht und Scanbericht angefertigt.
Viren dann weg, aber sobald ich online gehe, egal ob Internet Explorer ( hier erscheint immer google.com als Starseite, habe aber leere Seite als Startseite...bei Firefox keine Auffälligkeit, jedoch nach kurzer Zeit kommen wieder die Viruspopups...jetzt passiert es sogar, das sich der Computer nach ca. 30-40 Minuten runterfährt. Da ich Laie bin, hoffe ich auf prof. Hilfe.
Hier der Scanbercht:
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1036
Windows 5.1.2600 Service Pack 2

21:13:51 11.08.2008
mbam-log-8-11-2008 (21-13-51).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 94963
Laufzeit: 29 minute(s), 0 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\uninstall (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\karina.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\karina.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\braviax.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\buritos.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\buritos.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\Dokumente und Einstellungen\Kim Ole Andersen\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.

Auffällig ist auch, das "buritos" zwar gelöscht wird, jedoch immer wieder auftaucht.

Danke für eine Antwort!:aplaus:
Es grüßt der
Kim Ole

KimOle · 12.08.2008, 01:26

Nochmal ich...habe nachdem ich hijack erst heruntergeladen habe und nicht benutzen konnte, zweimal den Computer runtergefahren und malwar durchgejagd, jetzt ging es, hier das Protokoll:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:24:21, on 12.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ingxydwf\azqryvct.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\HHVcdV6Sys\VC6Play.exe
C:\Programme\Browser Mouse\mouse32a.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\zalkpilw.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Virtual CD v6\System\VC6Tray.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\HHVcdV6Sys\VC6SecS.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\fritzdsl.exe
C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Trend Micro\test.com\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www.ewetel.net/proxy.pac
R3 - URLSearchHook: (no name) - {2C0A14D5-2633-3189-B049-AA8907B77F48} - StartCpl.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [VC6Player] C:\Programme\HHVcdV6Sys\VC6Play.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser Mouse\mouse32a.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ChkAct] C:\WINDOWS\system32\zalkpilw.exe
O4 - HKCU\..\Run: [UtilApl] C:\WINDOWS\system32\afubsbcz.exe
O4 - HKCU\..\Run: [InfoApl] C:\WINDOWS\system32\bkzcrwpm.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [rF2UOt5YVu] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ingxydwf\azqryvct.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133826794828
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37710.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: karina.dat
O21 - SSODL: SetEnHlp - {2F3DC1AF-DEF9-A75F-0DB9-0936E294A69E} - \sktrzjc\SetEnHlp.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe

--
End of file - 6215 bytes

Ich vermute als Laie hier einen Fehler:
O20 - AppInit_DLLs: karina.dat

Aber, da nur kurz eingelesen, nichts genaues weiß man nicht, bitte um Hilfe.
Ich bin lernfähig, falls weitere Hinweise gebraucht werden, bitte um Mitteilung.
Vielen Dank!
Gute Nacht...
Kim Ole

Chris4You · 12.08.2008, 06:49

Bitte folgende Files prüfen:

Zitat:

C:\WINDOWS\system32\zalkpilw.exe
C:\WINDOWS\system32\afubsbcz.exe
C:\WINDOWS\system32\bkzcrwpm.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ingxydwf\azqryvct.exe

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Falls alles erkannt wurde Combofix downloaden, MAM updaten und Offline gehen!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Registry values to replace with dummy: 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs 

Files to delete:
C:\WINDOWS\system32\zalkpilw.exe
C:\WINDOWS\system32\afubsbcz.exe
C:\WINDOWS\system32\bkzcrwpm.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ingxydwf\azqryvct.exe
C:\WINDOWS\system32\karina.dat
C:\WINDOWS\system32\sktrzjc\SetEnHlp.dll

Folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ingxydwf
C:\WINDOWS\system32\sktrzjc

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O4 - HKCU\..\Run: [ChkAct] C:\WINDOWS\system32\zalkpilw.exe
O4 - HKCU\..\Run: [UtilApl] C:\WINDOWS\system32\afubsbcz.exe
O4 - HKCU\..\Run: [InfoApl] C:\WINDOWS\system32\bkzcrwpm.exe
O4 - HKLM\..\Policies\Explorer\Run: [rF2UOt5YVu] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ingxydwf\azqryvct.exe
O21 - SSODL: SetEnHlp - {2F3DC1AF-DEF9-A75F-0DB9-0936E294A69E} - \sktrzjc\SetEnHlp.dll

Danach bitte Combofix und noch mal MAM laufen lassen und Log sowie ein neues HJ-Log posten;
Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Chris

KimOle · 12.08.2008, 15:21

Hi, Chris!

Vielen Dank für die Hilfestellung!!!

Werde es heute abend ausprobieren, da noch auf Arbeit und Ergebnis posten.

Gruß!
Kim Ole

Chris4You · 12.08.2008, 15:30

Hi,

möglichst nur sehr kurz mit dem infizierten Rechner online gehen, ich hatte schon fälle wo sich immer mehr nachgeladen hat und die Logs beim Posten schon veraltet waren (weil sich inzwischen schon was neues auf dem Rechner "tummelte"). Das gibt dann unendliche "Runden"...

chris

KimOle · 12.08.2008, 15:44

Hi, again!

Yepp, das hatte ich gestern bereits festgestellt,
er "donnert" immer nach...
Werde deinen Rat befolgen!
Danke!

See u later!
Kim Ole

KimOle · 12.08.2008, 15:48

by the way, wäre es wohl am besten, erst alle benötigten Programme down zu loaden und dann deiner Anweisung zu folgen, nachdem ich dann MAM nochjmal durchgejags habe?
Auch nach virustotal online check lieber MAM durchjagen?

Merci!
Kim Ole

Chris4You · 12.08.2008, 16:14

Hi,

wichtig ist, dass zwischen combofix und MAM keine "Online-Lücke" ist. Danach ein HJ-Log (die Logsdas dann am besten über einen anderen Rechner posten).
Wenn das OK ist, kann wieder online gegangen werden.
Das wäre das optimale...
Wobei ich erst wieder morgen früh verfügbar bin...

Jetzt wartet erstmal eine Fete auf mich...
Täääärööööö!
chris (und wech!)

KimOle · 12.08.2008, 18:55

Guten Morgen, Chris!

Ja, Party on!
Hier habe dank deiner verständlichen Anleitung alles brav abgewickelt.
Es scheint zu funzen, hier die Protokolle:

Avenger Log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\zalkpilw.exe" deleted successfully.
File "C:\WINDOWS\system32\afubsbcz.exe" deleted successfully.
File "C:\WINDOWS\system32\bkzcrwpm.exe" deleted successfully.
File "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ingxydwf\azqryvct.exe" deleted successfully.

Error: file "C:\WINDOWS\system32\karina.dat" not found!
Deletion of file "C:\WINDOWS\system32\karina.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: could not open file "C:\WINDOWS\system32\sktrzjc\SetEnHlp.dll"
Deletion of file "C:\WINDOWS\system32\sktrzjc\SetEnHlp.dll" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ingxydwf" deleted successfully.

Error: folder "C:\WINDOWS\system32\sktrzjc" not found!
Deletion of folder "C:\WINDOWS\system32\sktrzjc" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate

COMBOFIX LOG:

ComboFix 08-08-11.01 - Kim Ole Andersen 2008-08-12 18:48:08.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.217 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kim Ole Andersen\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\XPSecurityCenter
C:\WINDOWS\system32\camoc.dll
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
c:\windows\system32\Drivers\Lsb21.sys

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_LSB21
-------\Service_Lsb21

((((((((((((((((((((((( Dateien erstellt von 2008-07-12 bis 2008-08-12 ))))))))))))))))))))))))))))))
.

2008-08-12 18:47 . 2008-08-12 18:52 <DIR> d-------- C:\ComboFix
2008-08-12 18:47 . 2008-08-12 18:52 <DIR> d-------- C:\ComboFix
2008-08-12 17:51 . 2008-08-12 17:51 130,048 --a------ C:\WINDOWS\system32\xajqtilm.exe
2008-08-12 17:51 . 2008-08-12 17:51 81,920 --a------ C:\WINDOWS\system32\psdwjmpu.exe
2008-08-12 17:36 . 2008-08-12 18:48 <DIR> d-------- C:\QooBox
2008-08-12 17:36 . 2008-08-12 18:48 <DIR> d-------- C:\QooBox
2008-08-12 02:41 . 2008-08-12 02:41 94,208 --a------ C:\WINDOWS\system32\bmngvmxe.exe
2008-08-12 02:41 . 2008-08-12 02:41 42,496 --a------ C:\WINDOWS\system32\teharalq.exe
2008-08-11 22:20 . 2008-08-11 22:20 <DIR> d-------- C:\sktrzjc
2008-08-11 22:20 . 2008-08-11 22:20 <DIR> d-------- C:\sktrzjc
2008-08-11 22:20 . 2008-08-11 22:20 <DIR> d-------- C:\sktrzjc
2008-08-11 21:47 . 2008-08-11 21:47 42,496 --a------ C:\WINDOWS\system32\nwzcdwvg.exe
2008-08-11 21:17 . 2004-08-04 14:00 4,224 --a------ C:\WINDOWS\system32\drivers\beep.sys
2008-08-11 21:17 . 2004-08-04 14:00 4,224 --a--c--- C:\WINDOWS\system32\dllcache\beep.sys
2008-08-11 20:42 . 2008-08-11 20:42 42,496 --a------ C:\WINDOWS\system32\lwbwnifw.exe
2008-08-11 19:36 . 2008-08-11 19:36 42,496 --a------ C:\WINDOWS\system32\lyfinkly.exe
2008-08-10 18:31 . 2008-08-10 18:31 42,496 --a------ C:\WINDOWS\system32\wjixehmz.exe
2008-08-10 17:58 . 2008-08-10 17:58 42,496 --a------ C:\WINDOWS\system32\ahodctwv.exe
2008-08-10 16:54 . 2008-08-10 16:54 42,496 --a------ C:\WINDOWS\system32\zydkjuvy.exe
2008-08-10 15:48 . 2008-08-10 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\Kim Ole Andersen\Anwendungsdaten\Malwarebytes
2008-08-10 15:48 . 2008-08-10 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-10 15:48 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-10 15:48 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-10 09:59 . 2008-08-10 09:59 17,199 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bywuzu.vbs
2008-08-10 09:59 . 2008-08-10 09:59 16,946 --a------ C:\wydi.dll
2008-08-10 09:59 . 2008-08-10 09:59 16,946 --a------ C:\wydi.dll
2008-08-10 09:59 . 2008-08-10 09:59 14,925 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kuxu.vbs
2008-08-10 09:59 . 2008-08-10 09:59 14,871 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jega.reg
2008-08-10 09:59 . 2008-08-10 09:59 12,499 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zudifesyjo.dat
2008-08-10 09:59 . 2008-08-10 09:59 12,060 --a------ C:\kinaz.dat
2008-08-10 09:59 . 2008-08-10 09:59 12,060 --a------ C:\kinaz.dat
2008-08-10 09:03 . 2008-08-10 09:03 19,043 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nacokod.bat
2008-08-10 09:03 . 2008-08-10 09:03 18,931 --a------ C:\WINDOWS\system32\pewicyjev.bin
2008-08-10 09:03 . 2008-08-10 09:03 18,271 --a------ C:\cony.sys
2008-08-10 09:03 . 2008-08-10 09:03 18,271 --a------ C:\cony.sys
2008-08-10 09:03 . 2008-08-10 09:03 15,076 --a------ C:\letiqiwoke.dll
2008-08-10 09:03 . 2008-08-10 09:03 15,076 --a------ C:\letiqiwoke.dll
2008-08-10 09:03 . 2008-08-10 09:03 14,290 --a------ C:\icadi.pif
2008-08-10 09:03 . 2008-08-10 09:03 14,290 --a------ C:\icadi.pif
2008-08-10 09:03 . 2008-08-10 09:03 14,119 --a------ C:\givyla.dll
2008-08-10 09:03 . 2008-08-10 09:03 14,119 --a------ C:\givyla.dll
2008-08-10 09:03 . 2008-08-10 09:03 11,756 --a------ C:\pocety.scr
2008-08-10 09:03 . 2008-08-10 09:03 11,756 --a------ C:\pocety.scr
2008-08-10 09:03 . 2008-08-10 09:03 11,357 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\apyfi.pif
2008-08-10 08:34 . 2008-08-10 08:34 <DIR> d-------- C:\xbmkhuf
2008-08-10 08:34 . 2008-08-10 08:34 <DIR> d-------- C:\xbmkhuf
2008-08-10 08:34 . 2008-08-10 08:34 <DIR> d-------- C:\xbmkhuf
2008-08-10 08:33 . 2008-08-10 08:33 102,400 --a------ C:\WINDOWS\system32\mbajozup.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
d-----w 0 2008-08-12 16:52:31 \ComboFix
d-----w 0 2008-08-12 16:52:31 \ComboFix
d-----w 0 2008-08-12 16:51:53 \WINDOWS
d-----w 0 2008-08-12 16:51:53 \WINDOWS
d-----w 0 2008-08-12 16:48:29 \QooBox
d-----w 0 2008-08-12 16:48:29 \QooBox
d-----w 0 2008-08-11 20:47:42 \Program Files
d-----w 0 2008-08-11 20:47:42 \Program Files
d-----w 0 2008-08-11 20:20:56 \sktrzjc
d-----w 0 2008-08-11 20:20:56 \sktrzjc
d-----w 0 2008-08-10 06:34:09 \xbmkhuf
d-----w 0 2008-08-10 06:34:09 \xbmkhuf
2008-08-12 00:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-10 07:59 16,946 ----a-w C:\wydi.dll
2008-08-10 07:59 13,650 ----a-w C:\WINDOWS\disabuwef.sys
2008-08-10 07:59 12,060 ----a-w C:\kinaz.dat
2008-08-10 07:59 10,979 ----a-w C:\WINDOWS\ycateqy.exe
2008-08-10 07:03 18,271 ----a-w C:\cony.sys
2008-08-10 07:03 18,117 ----a-w C:\WINDOWS\onakeril.com
2008-08-10 07:03 15,076 ----a-w C:\letiqiwoke.dll
2008-08-10 07:03 15,059 ----a-w C:\WINDOWS\kopasev.bat
2008-08-10 07:03 14,290 ----a-w C:\icadi.pif
2008-08-10 07:03 14,119 ----a-w C:\givyla.dll
2008-08-10 07:03 13,133 ----a-w C:\WINDOWS\igypa.pif
2008-08-10 07:03 11,756 ----a-w C:\pocety.scr
2008-08-10 07:03 11,110 ----a-w C:\WINDOWS\yrosagu.exe
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
--sha-w 792,723,456 2008-08-12 16:51:29 \pagefile.sys
--sha-w 792,723,456 2008-08-12 16:51:29 \pagefile.sys
--sha-w 527,941,632 2008-08-12 16:51:30 \hiberfil.sys
--sha-w 527,941,632 2008-08-12 16:51:30 \hiberfil.sys
--sha-r 251,184 2004-08-04 12:00:00 \ntldr
--sha-r 251,184 2004-08-04 12:00:00 \ntldr
--sha-r 47,564 2004-08-04 12:00:00 \NTDETECT.COM
--sha-r 47,564 2004-08-04 12:00:00 \NTDETECT.COM
--sha-r 4,952 2004-08-04 12:00:00 \bootfont.bin
--sha-r 4,952 2004-08-04 12:00:00 \bootfont.bin
--sha-r 211 2005-11-30 21:57:20 \boot.ini
--sha-r 211 2005-11-30 21:57:20 \boot.ini
--sha-r 0 2005-06-07 14:05:44 \MSDOS.SYS
--sha-r 0 2005-06-07 14:05:44 \MSDOS.SYS
--sha-r 0 2005-06-07 14:05:44 \IO.SYS
--sha-r 0 2005-06-07 14:05:44 \IO.SYS
2005-06-08 06:07 8 --sh--r C:\WINDOWS\system32\38B25DE429.sys
2005-06-08 06:07 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 09:42 2156368]
"StrGenSys"="C:\WINDOWS\system32\bmngvmxe.exe" [2008-08-12 02:41 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-03-22 01:03 98394]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-03-22 01:03 688218]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe" [2004-09-28 20:26 32881]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1\realmon.exe" [2004-06-26 00:17 504080]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2005-11-15 21:31 33792]
"VC6Player"="C:\Programme\HHVcdV6Sys\VC6Play.exe" [2004-08-12 11:06 229376]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
"FLMOFFICE4DMOUSE"="C:\Programme\Browser Mouse\mouse32a.exe" [2006-10-12 18:13 356352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Firefox"=C:\Programme\Mozilla Firefox\firefox.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\StubInstaller.exe"=
"C:\\Programme\\CA\\Etrust Antivirus\\InocIT.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"C:\\Programme\\CA\\Etrust Antivirus\\Realmon.exe"=
"C:\\Programme\\Anno 1701\\Anno1701.exe"=
"C:\\Programme\\CA\\Etrust Antivirus\\Shellscn.exe"=
"C:\\Programme\\Anno 1701\\Anno1701AddOn.exe"=

R0 Klpf;Klpf;C:\WINDOWS\system32\drivers\Klpf.sys [2006-05-11 16:05]
R0 Klpid;Klpid;C:\WINDOWS\system32\drivers\Klpid.sys [2006-05-11 16:06]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-03-04 12:35]
R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-05-22 02:00]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-03-04 12:35]
S3 CBEN5;Xircom CardBus Ethernet-10/100-Adapterfamilientreiber;C:\WINDOWS\system32\DRIVERS\cben5.sys [2001-08-17 13:13]
.
Inhalt des "geplante Tasks" Ordners

2008-08-08 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 02:29]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

URLSearchHooks-{2C0A14D5-2633-3189-B049-AA8907B77F48} - StartCpl.dll

.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Kim Ole Andersen\Anwendungsdaten\Mozilla\Firefox\Profiles\7sjtkppt.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-12 18:51:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\obvious]
"ImagePath"="system32\DRIVERS\obvious.sys"
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Virtual CD v6\System\vc6tray.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\CA\Etrust Antivirus\InoRpc.exe
C:\Programme\CA\Etrust Antivirus\InoRT.exe
C:\Programme\CA\Etrust Antivirus\InoTask.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\HHVcdV6Sys\VC6SecS.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-12 18:56:26 - PC wurde neu gestartet [Kim Ole Andersen]
ComboFix-quarantined-files.txt 2008-08-12 16:55:20

Pre-Run: 16 Verzeichnis(se), 18,315,194,368 Bytes frei
Post-Run: 17 Verzeichnis(se), 18,260,680,704 Bytes frei

211 --- E O F --- 2008-08-11 16:32:21

MAM Log:

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1045
Windows 5.1.2600 Service Pack 2

19:24:44 12.08.2008
mbam-log-8-12-2008 (19-24-44).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 93409
Laufzeit: 23 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hijackthis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:11, on 12.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\HHVcdV6Sys\VC6Play.exe
C:\Programme\Browser Mouse\mouse32a.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\bmngvmxe.exe
C:\Programme\Virtual CD v6\System\VC6Tray.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\HHVcdV6Sys\VC6SecS.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
C:\Program Files\Trend Micro\test.com\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www.ewetel.net/proxy.pac
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [VC6Player] C:\Programme\HHVcdV6Sys\VC6Play.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser Mouse\mouse32a.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [StrGenSys] C:\WINDOWS\system32\bmngvmxe.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133826794828
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37710.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe

--
End of file - 5562 bytes

So, das war jaaaa viel, aber du liest sowas sicherlich ein offenes Buch

.

Ich hoffe, der KimOle-Lehrling hat es dank Meister Chris wieder hinbekommen?!
Freue mich schon auf dein "Testat" morgen.

See U
Kim Ole

KimOle · 12.08.2008, 19:22

Nachtrag:
Jetzt ist alles okay anscheinend, nur ein "harmloser" Virus ist noch da...
hier die Beschreibung aus dem Netz:
"Adware/XP-Shield gibt sich als das Windows Security Center aus um User zu täuschen und warnt diese vor nicht existierenden Bedrohungen in ihren Computern. Um diese zu bekämpfen, werden sie gelockt, ein bestimmtes Programm zu kaufen. Dieses kann von der Webseite der Firma, die es entwickelt hat, runtergeladen werden.Adware/XP-Shield ist ein Adware Programm, das sich als Windows Security Center ausgibt und so User täuscht. Ihnen wird empfohlen, ein Programm zur Bekämpfung nicht existierender Bedrohungen in ihren Computern, zu kaufen.
Adware/XP-Shield kann freiwillig von der Webseite der Firma, die es entwickelt hat, runtergeladen werden"
Ob es der beschriebene ist, siehst du evt. an meinen Logs...
Versuche den jetzt mal mit Kapery wegzubekommen.

erty · 12.08.2008, 20:16

lade diese datei C:\WINDOWS\system32\bmngvmxe.exe bei Virustotal hoch und poste das komplette Ergebnis.

ausserdem:

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 1)

Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Chris4You · 13.08.2008, 06:45

Hi,

der "worst case" ist eingetroffen, jeden Tag haben sich ein paar
neue Sachen eingeschlichen.

Also das ganze von vorne mit der Ergänzung von erty;

Deinstalliere Combofix durch Start->Ausführen-> combofix /u;

Lade es dann neu runter (Combofix wird jeden Tag aktualisiert);
Update MAM, lade Dir Smithraudfix runter;

Bitte folgende Files prüfen:

Zitat:

C:\WINDOWS\system32\bmngvmxe.exe
C:\WINDOWS\system32\xajqtilm.exe
C:\WINDOWS\system32\psdwjmpu.exe

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Poste unbedingt das Ergebniss der Onlinescanns;

Danach Offline gehen und das hier abarbeiten:

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Files to delete:
C:\WINDOWS\system32\xajqtilm.exe
C:\WINDOWS\system32\psdwjmpu.exe
C:\WINDOWS\system32\bmngvmxe.exe
C:\WINDOWS\system32\teharalq.exe
C:\WINDOWS\system32\nwzcdwvg.exe
C:\WINDOWS\system32\lwbwnifw.exe
C:\WINDOWS\system32\lyfinkly.exe
C:\WINDOWS\system32\wjixehmz.exe
C:\WINDOWS\system32\ahodctwv.exe
C:\WINDOWS\system32\zydkjuvy.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bywuzu.vbs
C:\wydi.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kuxu.vbs
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jega.reg
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zudifesyjo.dat
C:\kinaz.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nacokod.bat
C:\WINDOWS\system32\mbajozup.exe
C:\WINDOWS\system32\pewicyjev.bin
C:\cony.sys
C:\letiqiwoke.dll
C:\icadi.pif
C:\givyla.dll
C:\pocety.scr
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\apyfi.pif
C:\WINDOWS\yrosagu.exe

Folders to delete:
C:\sktrzjc
C:\xbmkhuf

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

Unbekannt
O4 - HKCU\..\Run: [StrGenSys] C:\WINDOWS\system32\bmngvmxe.exe

In den abgesicherten Modus booten (F8 beim Booten drücken), wie von erty beschrieben Smithy laufen lassen;
Log sichern;

Anschließend noch mal combofix und MAM, dann die Logs posten...

Chris

KimOle · 13.08.2008, 09:15

Hi, Chris, Hallo, erty!

Wäre ja auch zu schön gewesen, das alles okay ist

...danke für die bisherige Hilfe.

Naja, werde mich heut abend wieder dransetzen.

Eine Verständnisfrage habe ich noch:

Wenn ich mit SmitfraudFix laut ertys Anleitung arbeite, also nur Option 1 ausführen
( also nur Suche und Bericht erstellen ),
oder
soll ich auch gleich die durch die Suche gefundenen infizierten Dateien löschen, ergo Reinigung durchführen?

Gruß!
Kim Ole

Chris4You · 13.08.2008, 10:03

Hi,

ich würde noch mal einen kompletten Bereinigungslauf versuchen...
Poste aber das log was Smithy beim suchen/bereinigen bringt mit den anderen zusammen wenn Du wieder online bist...

chris

KimOle · 13.08.2008, 18:09

N´abend, Chris!

Ich habe jetzt alles soweit wieder durchgeführt, jedoch wurde
bmnggvmxe.exe nicht mehr gefunden, Computer meldete beim ersten Hochfahren heute, das ein Virus gelöscht wurde....

Hier nun die Logs....

Virustotal Log:

C:\WINDOWS\system32\bmngvmxe.exe
wurde nicht mehr gefunden, vielleicht liegt es an den neuem Antivirenprogramm....

Leider hatte ich die beiden anderen zwischengespeichert, sind nicht mehr da

....hoffe, das ist nicht schlimm
waren aber gefunden und analysiert worden.

1. Combofix Log:

ComboFix 08-08-11.01 - Kim Ole Andersen 2008-08-13 17:34:00.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.278 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kim Ole Andersen\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-13 bis 2008-08-13 ))))))))))))))))))))))))))))))
.

2008-08-13 17:33 . 2008-08-13 17:35 <DIR> d-------- C:\ComboFix
2008-08-13 17:33 . 2008-08-13 17:35 <DIR> d-------- C:\ComboFix
2008-08-12 20:34 . 2008-08-13 17:17 <DIR> d--hs---- C:\Config.Msi
2008-08-12 20:34 . 2008-08-13 17:17 <DIR> d--hs---- C:\Config.Msi
2008-08-12 20:33 . 2008-08-13 00:55 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-08-12 20:28 . 2008-08-12 20:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-08-12 19:26 . 2008-08-12 19:26 <DIR> d--hs---- C:\RECYCLER
2008-08-12 19:26 . 2008-08-12 19:26 <DIR> d--hs---- C:\RECYCLER
2008-08-12 17:51 . 2008-08-12 17:51 130,048 --a------ C:\WINDOWS\system32\xajqtilm.exe
2008-08-12 17:51 . 2008-08-12 17:51 81,920 --a------ C:\WINDOWS\system32\psdwjmpu.exe
2008-08-12 17:36 . 2008-08-13 17:34 <DIR> d-------- C:\QooBox
2008-08-12 17:36 . 2008-08-13 17:34 <DIR> d-------- C:\QooBox
2008-08-12 02:41 . 2008-08-12 02:41 42,496 --a------ C:\WINDOWS\system32\teharalq.exe
2008-08-11 22:20 . 2008-08-11 22:20 <DIR> d-------- C:\sktrzjc
2008-08-11 22:20 . 2008-08-11 22:20 <DIR> d-------- C:\sktrzjc
2008-08-11 22:20 . 2008-08-11 22:20 <DIR> d-------- C:\sktrzjc
2008-08-11 21:47 . 2008-08-11 21:47 42,496 --a------ C:\WINDOWS\system32\nwzcdwvg.exe
2008-08-11 21:17 . 2004-08-04 14:00 4,224 --a------ C:\WINDOWS\system32\drivers\beep.sys
2008-08-11 21:17 . 2004-08-04 14:00 4,224 --a--c--- C:\WINDOWS\system32\dllcache\beep.sys
2008-08-11 20:42 . 2008-08-11 20:42 42,496 --a------ C:\WINDOWS\system32\lwbwnifw.exe
2008-08-11 19:36 . 2008-08-11 19:36 42,496 --a------ C:\WINDOWS\system32\lyfinkly.exe
2008-08-10 18:31 . 2008-08-10 18:31 42,496 --a------ C:\WINDOWS\system32\wjixehmz.exe
2008-08-10 17:58 . 2008-08-10 17:58 42,496 --a------ C:\WINDOWS\system32\ahodctwv.exe
2008-08-10 16:54 . 2008-08-10 16:54 42,496 --a------ C:\WINDOWS\system32\zydkjuvy.exe
2008-08-10 15:48 . 2008-08-10 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\Kim Ole Andersen\Anwendungsdaten\Malwarebytes
2008-08-10 15:48 . 2008-08-10 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-10 15:48 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-10 15:48 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-10 09:59 . 2008-08-10 09:59 17,199 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bywuzu.vbs
2008-08-10 09:59 . 2008-08-10 09:59 16,946 --a------ C:\wydi.dll
2008-08-10 09:59 . 2008-08-10 09:59 16,946 --a------ C:\wydi.dll
2008-08-10 09:59 . 2008-08-10 09:59 14,925 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kuxu.vbs
2008-08-10 09:59 . 2008-08-10 09:59 14,871 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jega.reg
2008-08-10 09:59 . 2008-08-10 09:59 12,499 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zudifesyjo.dat
2008-08-10 09:59 . 2008-08-10 09:59 12,060 --a------ C:\kinaz.dat
2008-08-10 09:59 . 2008-08-10 09:59 12,060 --a------ C:\kinaz.dat
2008-08-10 09:03 . 2008-08-10 09:03 19,043 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nacokod.bat
2008-08-10 09:03 . 2008-08-10 09:03 18,931 --a------ C:\WINDOWS\system32\pewicyjev.bin
2008-08-10 09:03 . 2008-08-10 09:03 18,271 --a------ C:\cony.sys
2008-08-10 09:03 . 2008-08-10 09:03 18,271 --a------ C:\cony.sys
2008-08-10 09:03 . 2008-08-10 09:03 15,076 --a------ C:\letiqiwoke.dll
2008-08-10 09:03 . 2008-08-10 09:03 15,076 --a------ C:\letiqiwoke.dll
2008-08-10 09:03 . 2008-08-10 09:03 14,290 --a------ C:\icadi.pif
2008-08-10 09:03 . 2008-08-10 09:03 14,290 --a------ C:\icadi.pif
2008-08-10 09:03 . 2008-08-10 09:03 14,119 --a------ C:\givyla.dll
2008-08-10 09:03 . 2008-08-10 09:03 14,119 --a------ C:\givyla.dll
2008-08-10 09:03 . 2008-08-10 09:03 11,756 --a------ C:\pocety.scr
2008-08-10 09:03 . 2008-08-10 09:03 11,756 --a------ C:\pocety.scr
2008-08-10 09:03 . 2008-08-10 09:03 11,357 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\apyfi.pif
2008-08-10 08:34 . 2008-08-10 08:34 <DIR> d-------- C:\xbmkhuf
2008-08-10 08:34 . 2008-08-10 08:34 <DIR> d-------- C:\xbmkhuf
2008-08-10 08:34 . 2008-08-10 08:34 <DIR> d-------- C:\xbmkhuf
2008-08-10 08:33 . 2008-08-10 08:33 102,400 --a------ C:\WINDOWS\system32\mbajozup.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
d-sh--w 0 2008-08-13 15:17:48 \Config.Msi
d-sh--w 0 2008-08-13 15:17:48 \Config.Msi
d-sh--w 0 2008-08-12 17:26:26 \RECYCLER
d-sh--w 0 2008-08-12 17:26:26 \RECYCLER
d-----w 0 2008-08-13 15:35:54 \ComboFix
d-----w 0 2008-08-13 15:35:54 \ComboFix
d-----w 0 2008-08-13 15:35:42 \WINDOWS
d-----w 0 2008-08-13 15:35:42 \WINDOWS
d-----w 0 2008-08-13 15:34:33 \QooBox
d-----w 0 2008-08-13 15:34:33 \QooBox
d-----w 0 2008-08-11 20:47:42 \Program Files
d-----w 0 2008-08-11 20:47:42 \Program Files
d-----w 0 2008-08-11 20:20:56 \sktrzjc
d-----w 0 2008-08-11 20:20:56 \sktrzjc
d-----w 0 2008-08-10 06:34:09 \xbmkhuf
d-----w 0 2008-08-10 06:34:09 \xbmkhuf
2008-08-13 15:19 --------- d-----w C:\Dokumente und Einstellungen\Kim Ole Andersen\Anwendungsdaten\AdobeUM
2008-08-12 18:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-10 07:59 16,946 ----a-w C:\wydi.dll
2008-08-10 07:59 13,650 ----a-w C:\WINDOWS\disabuwef.sys
2008-08-10 07:59 12,060 ----a-w C:\kinaz.dat
2008-08-10 07:59 10,979 ----a-w C:\WINDOWS\ycateqy.exe
2008-08-10 07:03 18,271 ----a-w C:\cony.sys
2008-08-10 07:03 18,117 ----a-w C:\WINDOWS\onakeril.com
2008-08-10 07:03 15,076 ----a-w C:\letiqiwoke.dll
2008-08-10 07:03 15,059 ----a-w C:\WINDOWS\kopasev.bat
2008-08-10 07:03 14,290 ----a-w C:\icadi.pif
2008-08-10 07:03 14,119 ----a-w C:\givyla.dll
2008-08-10 07:03 13,133 ----a-w C:\WINDOWS\igypa.pif
2008-08-10 07:03 11,756 ----a-w C:\pocety.scr
2008-08-10 07:03 11,110 ----a-w C:\WINDOWS\yrosagu.exe
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
--sha-w 792,723,456 2008-08-13 15:17:48 \pagefile.sys
--sha-w 792,723,456 2008-08-13 15:17:48 \pagefile.sys
--sha-w 527,941,632 2008-08-13 15:17:50 \hiberfil.sys
--sha-w 527,941,632 2008-08-13 15:17:50 \hiberfil.sys
--sha-r 251,184 2004-08-04 12:00:00 \ntldr
--sha-r 251,184 2004-08-04 12:00:00 \ntldr
--sha-r 47,564 2004-08-04 12:00:00 \NTDETECT.COM
--sha-r 47,564 2004-08-04 12:00:00 \NTDETECT.COM
--sha-r 4,952 2004-08-04 12:00:00 \bootfont.bin
--sha-r 4,952 2004-08-04 12:00:00 \bootfont.bin
--sha-r 211 2005-11-30 21:57:20 \boot.ini
--sha-r 211 2005-11-30 21:57:20 \boot.ini
--sha-r 0 2005-06-07 14:05:44 \MSDOS.SYS
--sha-r 0 2005-06-07 14:05:44 \MSDOS.SYS
--sha-r 0 2005-06-07 14:05:44 \IO.SYS
--sha-r 0 2005-06-07 14:05:44 \IO.SYS
2005-06-08 06:07 8 --sh--r C:\WINDOWS\system32\38B25DE429.sys
2005-06-08 06:07 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-08-12_18.54.47.90 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-07-07 20:16:43 253,952 ----a-w C:\WINDOWS\$hf_mig$\KB950974\SP2QFE\es.dll
+ 2008-07-07 20:26:58 253,952 ----a-w C:\WINDOWS\$hf_mig$\KB950974\SP3GDR\es.dll
+ 2008-07-07 20:23:19 253,952 ----a-w C:\WINDOWS\$hf_mig$\KB950974\SP3QFE\es.dll
+ 2007-11-30 12:39:14 18,808 ----a-w C:\WINDOWS\$hf_mig$\KB950974\spmsg.dll
+ 2007-11-30 12:39:14 234,872 ----a-w C:\WINDOWS\$hf_mig$\KB950974\spuninst.exe
+ 2007-11-30 12:39:14 26,488 ----a-w C:\WINDOWS\$hf_mig$\KB950974\update\spcustom.dll
+ 2007-11-30 12:39:08 765,304 ----a-w C:\WINDOWS\$hf_mig$\KB950974\update\update.exe
+ 2007-11-30 12:39:08 388,984 ----a-w C:\WINDOWS\$hf_mig$\KB950974\update\updspapi.dll
+ 2008-07-14 11:03:00 62,976 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\SP2QFE\tzchange.exe
+ 2008-07-11 12:42:28 62,976 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\SP3GDR\tzchange.exe
+ 2008-07-11 12:51:51 62,976 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\SP3QFE\tzchange.exe
+ 2007-11-30 11:18:34 18,808 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\spmsg.dll
+ 2007-11-30 11:18:34 234,872 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\spuninst.exe
+ 2007-11-30 11:18:34 26,488 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\update\spcustom.dll
+ 2007-11-30 12:39:14 765,304 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\update\update.exe
+ 2007-11-30 12:39:15 388,984 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\update\updspapi.dll
+ 2008-06-24 16:30:04 74,240 ----a-w C:\WINDOWS\$hf_mig$\KB952954\SP2QFE\mscms.dll
+ 2008-06-24 16:42:48 74,240 ----a-w C:\WINDOWS\$hf_mig$\KB952954\SP3GDR\mscms.dll
+ 2008-06-24 16:53:23 74,240 ----a-w C:\WINDOWS\$hf_mig$\KB952954\SP3QFE\mscms.dll
+ 2007-11-30 12:39:14 18,808 ----a-w C:\WINDOWS\$hf_mig$\KB952954\spmsg.dll
+ 2007-11-30 12:39:14 234,872 ----a-w C:\WINDOWS\$hf_mig$\KB952954\spuninst.exe
+ 2007-11-30 12:39:14 26,488 ----a-w C:\WINDOWS\$hf_mig$\KB952954\update\spcustom.dll
+ 2007-11-30 12:39:14 765,304 ----a-w C:\WINDOWS\$hf_mig$\KB952954\update\update.exe
+ 2007-11-30 12:39:15 388,984 ----a-w C:\WINDOWS\$hf_mig$\KB952954\update\updspapi.dll
- 2005-07-26 04:39:46 243,200 -c--a-w C:\WINDOWS\system32\dllcache\es.dll
+ 2008-07-07 20:30:55 253,952 -c--a-w C:\WINDOWS\system32\dllcache\es.dll
- 2007-08-21 06:16:14 683,520 -c--a-w C:\WINDOWS\system32\dllcache\inetcomm.dll
+ 2008-04-11 18:50:09 683,520 -c--a-w C:\WINDOWS\system32\dllcache\inetcomm.dll
- 2005-06-29 01:49:39 74,240 -c--a-w C:\WINDOWS\system32\dllcache\mscms.dll
+ 2008-06-24 16:22:31 74,240 -c--a-w C:\WINDOWS\system32\dllcache\mscms.dll
- 2007-08-21 06:16:14 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
+ 2008-04-11 18:50:09 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
- 2008-06-25 16:15:46 17,972,344 ----a-w C:\WINDOWS\system32\MRT.exe
+ 2008-08-05 18:11:01 15,888,504 ----a-w C:\WINDOWS\system32\MRT.exe
- 2008-03-30 07:44:51 65,468 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-08-12 18:34:38 64,848 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-03-30 07:44:51 54,390 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-08-12 18:34:38 53,770 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-03-30 07:44:51 393,706 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-08-12 18:34:38 393,086 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-03-30 07:44:51 382,646 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-08-12 18:34:38 382,026 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2007-11-13 11:31:11 60,416 ------w C:\WINDOWS\system32\tzchange.exe
+ 2008-07-14 11:09:18 62,976 ------w C:\WINDOWS\system32\tzchange.exe
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-03-22 01:03 98394]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-03-22 01:03 688218]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe" [2004-09-28 20:26 32881]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2005-11-15 21:31 33792]
"VC6Player"="C:\Programme\HHVcdV6Sys\VC6Play.exe" [2004-08-12 11:06 229376]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
"FLMOFFICE4DMOUSE"="C:\Programme\Browser Mouse\mouse32a.exe" [2006-10-12 18:13 356352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 08:05:26 29696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Firefox"=C:\Programme\Mozilla Firefox\firefox.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\StubInstaller.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"C:\\Programme\\Anno 1701\\Anno1701.exe"=
"C:\\Programme\\Anno 1701\\Anno1701AddOn.exe"=

R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-03-04 12:35]
R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-05-22 02:00]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-03-04 12:35]
S3 CBEN5;Xircom CardBus Ethernet-10/100-Adapterfamilientreiber;C:\WINDOWS\system32\DRIVERS\cben5.sys [2001-08-17 13:13]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners

2008-08-08 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 02:29]
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Kim Ole Andersen\Anwendungsdaten\Mozilla\Firefox\Profiles\7sjtkppt.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-13 17:35:44
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\obvious]
"ImagePath"="system32\DRIVERS\obvious.sys"
.
Zeit der Fertigstellung: 2008-08-13 17:36:52
ComboFix-quarantined-files.txt 2008-08-13 15:36:33
ComboFix2.txt 2008-08-12 16:56:27

Pre-Run: 15 Verzeichnis(se), 18,195,374,080 Bytes frei
Post-Run: 18 Verzeichnis(se), 18,193,784,832 Bytes frei

240 --- E O F --- 2008-08-12 22:55:15

SFF SCAN:

SmitFraudFix v2.336

Scan done at 18:14:35,12, 13.08.2008
Run from C:\Dokumente und Einstellungen\Kim Ole Andersen\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Kim Ole Andersen\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Kim Ole Andersen

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Kim Ole Andersen\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\KIMOLE~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"system"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4B5E04EA-D238-42FB-9E12-C507E3DB53DC}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{54C29812-81B8-4780-9B68-0D039682EFDF}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4B5E04EA-D238-42FB-9E12-C507E3DB53DC}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{54C29812-81B8-4780-9B68-0D039682EFDF}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4B5E04EA-D238-42FB-9E12-C507E3DB53DC}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{54C29812-81B8-4780-9B68-0D039682EFDF}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Antivir XP 2008 wieder mal einen erwischt

Plagegeister aller Art und deren Bekämpfung: Antivir XP 2008 wieder mal einen erwischt