| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Antivir XP 2008 wieder mal einen erwischtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
11.08.2008, 20:28
| #1 |
 |  Antivir XP 2008 wieder mal einen erwischt Hallo an die Experten! Auch mich hat der Virus erwischt, einen Freund drangelassen und nach einer Stunde hatte der Computer den Virus XP Virus 2008...  Dank DaGuRu Tipp habe ich Malware installiert und Scan durchgeführt, alles Gefundene gelöscht und Scanbericht angefertigt. Viren dann weg, aber sobald ich online gehe, egal ob Internet Explorer ( hier erscheint immer google.com als Starseite, habe aber leere Seite als Startseite...bei Firefox keine Auffälligkeit, jedoch nach kurzer Zeit kommen wieder die Viruspopups...jetzt passiert es sogar, das sich der Computer nach ca. 30-40 Minuten runterfährt. Da ich Laie bin, hoffe ich auf prof. Hilfe. Hier der Scanbercht: Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1036 Windows 5.1.2600 Service Pack 2 21:13:51 11.08.2008 mbam-log-8-11-2008 (21-13-51).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|) Durchsuchte Objekte: 94963 Laufzeit: 29 minute(s), 0 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 8 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\uninstall (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\karina.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\karina.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully. C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully. C:\WINDOWS\system32\braviax.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\buritos.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\buritos.exe (Trojan.FakeAlert) -> Delete on reboot. C:\Dokumente und Einstellungen\Kim Ole Andersen\delself.bat (Malware.Trace) -> Quarantined and deleted successfully. Auffällig ist auch, das "buritos" zwar gelöscht wird, jedoch immer wieder auftaucht.  Danke für eine Antwort!:aplaus:Es grüßt der Kim Ole |
|
12.08.2008, 01:26
| #2 |
| | Antivir XP 2008 wieder mal einen erwischt Nochmal ich...habe nachdem ich hijack erst heruntergeladen habe und nicht benutzen konnte, zweimal den Computer runtergefahren und malwar durchgejagd, jetzt ging es, hier das Protokoll:
__________________Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:24:21, on 12.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ingxydwf\azqryvct.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\Programme\Winamp\winampa.exe C:\Programme\HHVcdV6Sys\VC6Play.exe C:\Programme\Browser Mouse\mouse32a.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\zalkpilw.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Virtual CD v6\System\VC6Tray.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\HHVcdV6Sys\VC6SecS.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\FRITZ!DSL\fritzdsl.exe C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe C:\Program Files\Trend Micro\test.com\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www.ewetel.net/proxy.pac R3 - URLSearchHook: (no name) - {2C0A14D5-2633-3189-B049-AA8907B77F48} - StartCpl.dll (file missing) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [VC6Player] C:\Programme\HHVcdV6Sys\VC6Play.exe O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser Mouse\mouse32a.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ChkAct] C:\WINDOWS\system32\zalkpilw.exe O4 - HKCU\..\Run: [UtilApl] C:\WINDOWS\system32\afubsbcz.exe O4 - HKCU\..\Run: [InfoApl] C:\WINDOWS\system32\bkzcrwpm.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKLM\..\Policies\Explorer\Run: [rF2UOt5YVu] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ingxydwf\azqryvct.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133826794828 O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37710.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - AppInit_DLLs: karina.dat O21 - SSODL: SetEnHlp - {2F3DC1AF-DEF9-A75F-0DB9-0936E294A69E} - \sktrzjc\SetEnHlp.dll O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe -- End of file - 6215 bytes Ich vermute als Laie hier einen Fehler: O20 - AppInit_DLLs: karina.dat  Aber, da nur kurz eingelesen, nichts genaues weiß man nicht, bitte um Hilfe. Ich bin lernfähig, falls weitere Hinweise gebraucht werden, bitte um Mitteilung. Vielen Dank! Gute Nacht... Kim Ole |
|
12.08.2008, 06:49
| #3 | |
  | Antivir XP 2008 wieder mal einen erwischt Bitte folgende Files prüfen:
__________________Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Falls alles erkannt wurde Combofix downloaden, MAM updaten und Offline gehen! Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter
Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
Files to delete:
C:\WINDOWS\system32\zalkpilw.exe
C:\WINDOWS\system32\afubsbcz.exe
C:\WINDOWS\system32\bkzcrwpm.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ingxydwf\azqryvct.exe
C:\WINDOWS\system32\karina.dat
C:\WINDOWS\system32\sktrzjc\SetEnHlp.dll
Folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ingxydwf
C:\WINDOWS\system32\sktrzjc
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O4 - HKCU\..\Run: [ChkAct] C:\WINDOWS\system32\zalkpilw.exe
O4 - HKCU\..\Run: [UtilApl] C:\WINDOWS\system32\afubsbcz.exe
O4 - HKCU\..\Run: [InfoApl] C:\WINDOWS\system32\bkzcrwpm.exe
O4 - HKLM\..\Policies\Explorer\Run: [rF2UOt5YVu] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ingxydwf\azqryvct.exe
O21 - SSODL: SetEnHlp - {2F3DC1AF-DEF9-A75F-0DB9-0936E294A69E} - \sktrzjc\SetEnHlp.dll
Danach bitte Combofix und noch mal MAM laufen lassen und Log sowie ein neues HJ-Log posten; Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Chris
__________________ |
|
12.08.2008, 15:21
| #4 |
| | Antivir XP 2008 wieder mal einen erwischt Hi, Chris! Vielen Dank für die Hilfestellung!!!  Werde es heute abend ausprobieren, da noch auf Arbeit und Ergebnis posten. Gruß! Kim Ole |
|
12.08.2008, 15:30
| #5 |
| | Antivir XP 2008 wieder mal einen erwischt Hi, möglichst nur sehr kurz mit dem infizierten Rechner online gehen, ich hatte schon fälle wo sich immer mehr nachgeladen hat und die Logs beim Posten schon veraltet waren (weil sich inzwischen schon was neues auf dem Rechner "tummelte"). Das gibt dann unendliche "Runden"... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
12.08.2008, 15:44
| #6 |
| | Antivir XP 2008 wieder mal einen erwischt Hi, again! Yepp, das hatte ich gestern bereits festgestellt, er "donnert" immer nach... Werde deinen Rat befolgen! Danke! See u later! Kim Ole |
|
12.08.2008, 15:48
| #7 |
| | Antivir XP 2008 wieder mal einen erwischt by the way, wäre es wohl am besten, erst alle benötigten Programme down zu loaden und dann deiner Anweisung zu folgen, nachdem ich dann MAM nochjmal durchgejags habe? Auch nach virustotal online check lieber MAM durchjagen? Merci! Kim Ole |
|
12.08.2008, 16:14
| #8 |
| | Antivir XP 2008 wieder mal einen erwischt Hi, wichtig ist, dass zwischen combofix und MAM keine "Online-Lücke" ist. Danach ein HJ-Log (die Logsdas dann am besten über einen anderen Rechner posten). Wenn das OK ist, kann wieder online gegangen werden. Das wäre das optimale... Wobei ich erst wieder morgen früh verfügbar bin... Jetzt wartet erstmal eine Fete auf mich... Täääärööööö! chris (und wech!)
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
13.08.2008, 18:09
| #9 |
| | Antivir XP 2008 wieder mal einen erwischt N´abend, Chris! Ich habe jetzt alles soweit wieder durchgeführt, jedoch wurde bmnggvmxe.exe nicht mehr gefunden, Computer meldete beim ersten Hochfahren heute, das ein Virus gelöscht wurde.... Hier nun die Logs.... Virustotal Log: C:\WINDOWS\system32\bmngvmxe.exe wurde nicht mehr gefunden, vielleicht liegt es an den neuem Antivirenprogramm.... Leider hatte ich die beiden anderen zwischengespeichert, sind nicht mehr da  ....hoffe, das ist nicht schlimmwaren aber gefunden und analysiert worden. 1. Combofix Log: ComboFix 08-08-11.01 - Kim Ole Andersen 2008-08-13 17:34:00.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.278 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Kim Ole Andersen\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2008-07-13 bis 2008-08-13 )))))))))))))))))))))))))))))) . 2008-08-13 17:33 . 2008-08-13 17:35 <DIR> d-------- C:\ComboFix 2008-08-13 17:33 . 2008-08-13 17:35 <DIR> d-------- C:\ComboFix 2008-08-12 20:34 . 2008-08-13 17:17 <DIR> d--hs---- C:\Config.Msi 2008-08-12 20:34 . 2008-08-13 17:17 <DIR> d--hs---- C:\Config.Msi 2008-08-12 20:33 . 2008-08-13 00:55 1,374 --a------ C:\WINDOWS\imsins.BAK 2008-08-12 20:28 . 2008-08-12 20:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files 2008-08-12 19:26 . 2008-08-12 19:26 <DIR> d--hs---- C:\RECYCLER 2008-08-12 19:26 . 2008-08-12 19:26 <DIR> d--hs---- C:\RECYCLER 2008-08-12 17:51 . 2008-08-12 17:51 130,048 --a------ C:\WINDOWS\system32\xajqtilm.exe 2008-08-12 17:51 . 2008-08-12 17:51 81,920 --a------ C:\WINDOWS\system32\psdwjmpu.exe 2008-08-12 17:36 . 2008-08-13 17:34 <DIR> d-------- C:\QooBox 2008-08-12 17:36 . 2008-08-13 17:34 <DIR> d-------- C:\QooBox 2008-08-12 02:41 . 2008-08-12 02:41 42,496 --a------ C:\WINDOWS\system32\teharalq.exe 2008-08-11 22:20 . 2008-08-11 22:20 <DIR> d-------- C:\sktrzjc 2008-08-11 22:20 . 2008-08-11 22:20 <DIR> d-------- C:\sktrzjc 2008-08-11 22:20 . 2008-08-11 22:20 <DIR> d-------- C:\sktrzjc 2008-08-11 21:47 . 2008-08-11 21:47 42,496 --a------ C:\WINDOWS\system32\nwzcdwvg.exe 2008-08-11 21:17 . 2004-08-04 14:00 4,224 --a------ C:\WINDOWS\system32\drivers\beep.sys 2008-08-11 21:17 . 2004-08-04 14:00 4,224 --a--c--- C:\WINDOWS\system32\dllcache\beep.sys 2008-08-11 20:42 . 2008-08-11 20:42 42,496 --a------ C:\WINDOWS\system32\lwbwnifw.exe 2008-08-11 19:36 . 2008-08-11 19:36 42,496 --a------ C:\WINDOWS\system32\lyfinkly.exe 2008-08-10 18:31 . 2008-08-10 18:31 42,496 --a------ C:\WINDOWS\system32\wjixehmz.exe 2008-08-10 17:58 . 2008-08-10 17:58 42,496 --a------ C:\WINDOWS\system32\ahodctwv.exe 2008-08-10 16:54 . 2008-08-10 16:54 42,496 --a------ C:\WINDOWS\system32\zydkjuvy.exe 2008-08-10 15:48 . 2008-08-10 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\Kim Ole Andersen\Anwendungsdaten\Malwarebytes 2008-08-10 15:48 . 2008-08-10 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-10 15:48 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-10 15:48 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-10 09:59 . 2008-08-10 09:59 17,199 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bywuzu.vbs 2008-08-10 09:59 . 2008-08-10 09:59 16,946 --a------ C:\wydi.dll 2008-08-10 09:59 . 2008-08-10 09:59 16,946 --a------ C:\wydi.dll 2008-08-10 09:59 . 2008-08-10 09:59 14,925 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kuxu.vbs 2008-08-10 09:59 . 2008-08-10 09:59 14,871 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jega.reg 2008-08-10 09:59 . 2008-08-10 09:59 12,499 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zudifesyjo.dat 2008-08-10 09:59 . 2008-08-10 09:59 12,060 --a------ C:\kinaz.dat 2008-08-10 09:59 . 2008-08-10 09:59 12,060 --a------ C:\kinaz.dat 2008-08-10 09:03 . 2008-08-10 09:03 19,043 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nacokod.bat 2008-08-10 09:03 . 2008-08-10 09:03 18,931 --a------ C:\WINDOWS\system32\pewicyjev.bin 2008-08-10 09:03 . 2008-08-10 09:03 18,271 --a------ C:\cony.sys 2008-08-10 09:03 . 2008-08-10 09:03 18,271 --a------ C:\cony.sys 2008-08-10 09:03 . 2008-08-10 09:03 15,076 --a------ C:\letiqiwoke.dll 2008-08-10 09:03 . 2008-08-10 09:03 15,076 --a------ C:\letiqiwoke.dll 2008-08-10 09:03 . 2008-08-10 09:03 14,290 --a------ C:\icadi.pif 2008-08-10 09:03 . 2008-08-10 09:03 14,290 --a------ C:\icadi.pif 2008-08-10 09:03 . 2008-08-10 09:03 14,119 --a------ C:\givyla.dll 2008-08-10 09:03 . 2008-08-10 09:03 14,119 --a------ C:\givyla.dll 2008-08-10 09:03 . 2008-08-10 09:03 11,756 --a------ C:\pocety.scr 2008-08-10 09:03 . 2008-08-10 09:03 11,756 --a------ C:\pocety.scr 2008-08-10 09:03 . 2008-08-10 09:03 11,357 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\apyfi.pif 2008-08-10 08:34 . 2008-08-10 08:34 <DIR> d-------- C:\xbmkhuf 2008-08-10 08:34 . 2008-08-10 08:34 <DIR> d-------- C:\xbmkhuf 2008-08-10 08:34 . 2008-08-10 08:34 <DIR> d-------- C:\xbmkhuf 2008-08-10 08:33 . 2008-08-10 08:33 102,400 --a------ C:\WINDOWS\system32\mbajozup.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . d-sh--w 0 2008-08-13 15:17:48 \Config.Msi d-sh--w 0 2008-08-13 15:17:48 \Config.Msi d-sh--w 0 2008-08-12 17:26:26 \RECYCLER d-sh--w 0 2008-08-12 17:26:26 \RECYCLER d-----w 0 2008-08-13 15:35:54 \ComboFix d-----w 0 2008-08-13 15:35:54 \ComboFix d-----w 0 2008-08-13 15:35:42 \WINDOWS d-----w 0 2008-08-13 15:35:42 \WINDOWS d-----w 0 2008-08-13 15:34:33 \QooBox d-----w 0 2008-08-13 15:34:33 \QooBox d-----w 0 2008-08-11 20:47:42 \Program Files d-----w 0 2008-08-11 20:47:42 \Program Files d-----w 0 2008-08-11 20:20:56 \sktrzjc d-----w 0 2008-08-11 20:20:56 \sktrzjc d-----w 0 2008-08-10 06:34:09 \xbmkhuf d-----w 0 2008-08-10 06:34:09 \xbmkhuf 2008-08-13 15:19 --------- d-----w C:\Dokumente und Einstellungen\Kim Ole Andersen\Anwendungsdaten\AdobeUM 2008-08-12 18:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-08-10 07:59 16,946 ----a-w C:\wydi.dll 2008-08-10 07:59 13,650 ----a-w C:\WINDOWS\disabuwef.sys 2008-08-10 07:59 12,060 ----a-w C:\kinaz.dat 2008-08-10 07:59 10,979 ----a-w C:\WINDOWS\ycateqy.exe 2008-08-10 07:03 18,271 ----a-w C:\cony.sys 2008-08-10 07:03 18,117 ----a-w C:\WINDOWS\onakeril.com 2008-08-10 07:03 15,076 ----a-w C:\letiqiwoke.dll 2008-08-10 07:03 15,059 ----a-w C:\WINDOWS\kopasev.bat 2008-08-10 07:03 14,290 ----a-w C:\icadi.pif 2008-08-10 07:03 14,119 ----a-w C:\givyla.dll 2008-08-10 07:03 13,133 ----a-w C:\WINDOWS\igypa.pif 2008-08-10 07:03 11,756 ----a-w C:\pocety.scr 2008-08-10 07:03 11,110 ----a-w C:\WINDOWS\yrosagu.exe 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys --sha-w 792,723,456 2008-08-13 15:17:48 \pagefile.sys --sha-w 792,723,456 2008-08-13 15:17:48 \pagefile.sys --sha-w 527,941,632 2008-08-13 15:17:50 \hiberfil.sys --sha-w 527,941,632 2008-08-13 15:17:50 \hiberfil.sys --sha-r 251,184 2004-08-04 12:00:00 \ntldr --sha-r 251,184 2004-08-04 12:00:00 \ntldr --sha-r 47,564 2004-08-04 12:00:00 \NTDETECT.COM --sha-r 47,564 2004-08-04 12:00:00 \NTDETECT.COM --sha-r 4,952 2004-08-04 12:00:00 \bootfont.bin --sha-r 4,952 2004-08-04 12:00:00 \bootfont.bin --sha-r 211 2005-11-30 21:57:20 \boot.ini --sha-r 211 2005-11-30 21:57:20 \boot.ini --sha-r 0 2005-06-07 14:05:44 \MSDOS.SYS --sha-r 0 2005-06-07 14:05:44 \MSDOS.SYS --sha-r 0 2005-06-07 14:05:44 \IO.SYS --sha-r 0 2005-06-07 14:05:44 \IO.SYS 2005-06-08 06:07 8 --sh--r C:\WINDOWS\system32\38B25DE429.sys 2005-06-08 06:07 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot@2008-08-12_18.54.47.90 ))))))))))))))))))))))))))))))))))))))))) . + 2008-07-07 20:16:43 253,952 ----a-w C:\WINDOWS\$hf_mig$\KB950974\SP2QFE\es.dll + 2008-07-07 20:26:58 253,952 ----a-w C:\WINDOWS\$hf_mig$\KB950974\SP3GDR\es.dll + 2008-07-07 20:23:19 253,952 ----a-w C:\WINDOWS\$hf_mig$\KB950974\SP3QFE\es.dll + 2007-11-30 12:39:14 18,808 ----a-w C:\WINDOWS\$hf_mig$\KB950974\spmsg.dll + 2007-11-30 12:39:14 234,872 ----a-w C:\WINDOWS\$hf_mig$\KB950974\spuninst.exe + 2007-11-30 12:39:14 26,488 ----a-w C:\WINDOWS\$hf_mig$\KB950974\update\spcustom.dll + 2007-11-30 12:39:08 765,304 ----a-w C:\WINDOWS\$hf_mig$\KB950974\update\update.exe + 2007-11-30 12:39:08 388,984 ----a-w C:\WINDOWS\$hf_mig$\KB950974\update\updspapi.dll + 2008-07-14 11:03:00 62,976 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\SP2QFE\tzchange.exe + 2008-07-11 12:42:28 62,976 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\SP3GDR\tzchange.exe + 2008-07-11 12:51:51 62,976 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\SP3QFE\tzchange.exe + 2007-11-30 11:18:34 18,808 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\spmsg.dll + 2007-11-30 11:18:34 234,872 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\spuninst.exe + 2007-11-30 11:18:34 26,488 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\update\spcustom.dll + 2007-11-30 12:39:14 765,304 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\update\update.exe + 2007-11-30 12:39:15 388,984 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\update\updspapi.dll + 2008-06-24 16:30:04 74,240 ----a-w C:\WINDOWS\$hf_mig$\KB952954\SP2QFE\mscms.dll + 2008-06-24 16:42:48 74,240 ----a-w C:\WINDOWS\$hf_mig$\KB952954\SP3GDR\mscms.dll + 2008-06-24 16:53:23 74,240 ----a-w C:\WINDOWS\$hf_mig$\KB952954\SP3QFE\mscms.dll + 2007-11-30 12:39:14 18,808 ----a-w C:\WINDOWS\$hf_mig$\KB952954\spmsg.dll + 2007-11-30 12:39:14 234,872 ----a-w C:\WINDOWS\$hf_mig$\KB952954\spuninst.exe + 2007-11-30 12:39:14 26,488 ----a-w C:\WINDOWS\$hf_mig$\KB952954\update\spcustom.dll + 2007-11-30 12:39:14 765,304 ----a-w C:\WINDOWS\$hf_mig$\KB952954\update\update.exe + 2007-11-30 12:39:15 388,984 ----a-w C:\WINDOWS\$hf_mig$\KB952954\update\updspapi.dll - 2005-07-26 04:39:46 243,200 -c--a-w C:\WINDOWS\system32\dllcache\es.dll + 2008-07-07 20:30:55 253,952 -c--a-w C:\WINDOWS\system32\dllcache\es.dll - 2007-08-21 06:16:14 683,520 -c--a-w C:\WINDOWS\system32\dllcache\inetcomm.dll + 2008-04-11 18:50:09 683,520 -c--a-w C:\WINDOWS\system32\dllcache\inetcomm.dll - 2005-06-29 01:49:39 74,240 -c--a-w C:\WINDOWS\system32\dllcache\mscms.dll + 2008-06-24 16:22:31 74,240 -c--a-w C:\WINDOWS\system32\dllcache\mscms.dll - 2007-08-21 06:16:14 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll + 2008-04-11 18:50:09 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll - 2008-06-25 16:15:46 17,972,344 ----a-w C:\WINDOWS\system32\MRT.exe + 2008-08-05 18:11:01 15,888,504 ----a-w C:\WINDOWS\system32\MRT.exe - 2008-03-30 07:44:51 65,468 ----a-w C:\WINDOWS\system32\perfc007.dat + 2008-08-12 18:34:38 64,848 ----a-w C:\WINDOWS\system32\perfc007.dat - 2008-03-30 07:44:51 54,390 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-08-12 18:34:38 53,770 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-03-30 07:44:51 393,706 ----a-w C:\WINDOWS\system32\perfh007.dat + 2008-08-12 18:34:38 393,086 ----a-w C:\WINDOWS\system32\perfh007.dat - 2008-03-30 07:44:51 382,646 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-08-12 18:34:38 382,026 ----a-w C:\WINDOWS\system32\perfh009.dat - 2007-11-13 11:31:11 60,416 ------w C:\WINDOWS\system32\tzchange.exe + 2008-07-14 11:09:18 62,976 ------w C:\WINDOWS\system32\tzchange.exe . -- Snapshot reset to current date -- . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-03-22 01:03 98394] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-03-22 01:03 688218] "SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe" [2004-09-28 20:26 32881] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2005-11-15 21:31 33792] "VC6Player"="C:\Programme\HHVcdV6Sys\VC6Play.exe" [2004-08-12 11:06 229376] "Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744] "FLMOFFICE4DMOUSE"="C:\Programme\Browser Mouse\mouse32a.exe" [2006-10-12 18:13 356352] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 08:05:26 29696] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Firefox"=C:\Programme\Mozilla Firefox\firefox.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\StubInstaller.exe"= "C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "C:\\Programme\\LimeWire\\LimeWire.exe"= "C:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"= "C:\\Programme\\Anno 1701\\Anno1701.exe"= "C:\\Programme\\Anno 1701\\Anno1701AddOn.exe"= R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-03-04 12:35] R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-05-22 02:00] R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-03-04 12:35] S3 CBEN5;Xircom CardBus Ethernet-10/100-Adapterfamilientreiber;C:\WINDOWS\system32\DRIVERS\cben5.sys [2001-08-17 13:13] *Newly Created Service* - CATCHME . Inhalt des "geplante Tasks" Ordners 2008-08-08 C:\WINDOWS\Tasks\1-Klick-Wartung.job - C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 02:29] . . ------- Zusätzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Kim Ole Andersen\Anwendungsdaten\Mozilla\Firefox\Profiles\7sjtkppt.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-13 17:35:44 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\obvious] "ImagePath"="system32\DRIVERS\obvious.sys" . Zeit der Fertigstellung: 2008-08-13 17:36:52 ComboFix-quarantined-files.txt 2008-08-13 15:36:33 ComboFix2.txt 2008-08-12 16:56:27 Pre-Run: 15 Verzeichnis(se), 18,195,374,080 Bytes frei Post-Run: 18 Verzeichnis(se), 18,193,784,832 Bytes frei 240 --- E O F --- 2008-08-12 22:55:15 SFF SCAN: SmitFraudFix v2.336 Scan done at 18:14:35,12, 13.08.2008 Run from C:\Dokumente und Einstellungen\Kim Ole Andersen\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Kim Ole Andersen\Desktop\SmitfraudFix\Policies.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Kim Ole Andersen »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Kim Ole Andersen\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\KIMOLE~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, following keys are not inevitably infected!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix !!!Attention, following keys are not inevitably infected!!! 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," "system"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{4B5E04EA-D238-42FB-9E12-C507E3DB53DC}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{54C29812-81B8-4780-9B68-0D039682EFDF}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{4B5E04EA-D238-42FB-9E12-C507E3DB53DC}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{54C29812-81B8-4780-9B68-0D039682EFDF}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{4B5E04EA-D238-42FB-9E12-C507E3DB53DC}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{54C29812-81B8-4780-9B68-0D039682EFDF}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End |
, dank eurer Hilfe!
Hybrid-Darstellung
