| |
| |||||||
Log-Analyse und Auswertung: BDS/Frauder.bu befall??Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
05.09.2008, 22:31
| #1 | |||
| |  BDS/Frauder.bu befall?? Hallo, ich hab mir über ne Seite einen Virus eingefangen. Ich denke mal es ist der XP 2008. Ich hab nach meinen Symptomen gegoogelt und folgendes gefunden: BDS/Frauder.bu - Vollstndig Genau mit dem Teil hab ich mich infiziert. Ich hatte auch noch das Problem, dass die Links von google und anderen Suchseiten verändert worden sind, Downloads abgeborchen haben und viele Seiten garnicht verfügbar waren. Ich hab jedenfalls die Regestryeinträge wieder entfernt und Dann Avira Spybot S&D und Malwarebytes drüberlaufen lassen. die Fehler sindjetzt alle behoben, aber wich würde gerne wissen ob ich auch clean bin. Ich weiß ,ohne neu aufsetzen kann man nie 100% clean sein, aber das würde ich mir gerne erpsaren. Wäre nett wenn ihr mal über meine Logs drüberschauen könnt: Zitat:
Zitat:
Anbei noch das Log von Avira. Das war der erste Schritt den ich gemacht habe. Zitat:
Dort steht allerdings nichts von dem BDS/Frauder.bu. Symptome waren aber genau die selben. Geändert von grandh (05.09.2008 um 23:27 Uhr) |
|
06.09.2008, 10:02
| #2 |
| | BDS/Frauder.bu befall?? Sorry für das Hijack Log. Hab einen Link übersehen.
__________________Hier nochmal die ausgebesserte Version! Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:52:42, on 05.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe C:\windows\system\hpsysdrv.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\HP\KBD\KBD.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\arservice.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\HP_Administrator\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=PAVILION&pf=desktop R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://192.168.0.70:8080/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=64&bd=PAVILION&pf=desktop R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=PAVILION&pf=desktop R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE O4 - HKLM\..\Run: [ALCMTR] ALCMTR.EXE O4 - HKLM\..\Run: [UpdReg] UpdReg.exe O4 - HKLM\..\RunOnce: [CTxfiReg] CTxfiReg.exe /FAIL0 O4 - HKLM\..\RunOnce: [CTxfiHlp] CTxfiHlp.exe O4 - HKLM\..\RunOnce: [YouP-PAX 3.63.03 Tone Color Restorer] C:\WINDOWS\system32\Fi2.32tcr2.2.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - Startup: ATI Tray Tools.lnk = C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {8BC53B30-32E4-4ED3-BEF9-DB761DB77453} (CInstallLPCtrl Object) - h**p://u3.sandisk.com/download/apps/LPInstaller.CAB O16 - DPF: {B4CB50E4-0309-4906-86EA-10B6641C8392} (SlimClient Class) - h**ps://remote.upc.at/SNX/CSHELL/extender.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{433A806C-911E-46FC-B354-E58A596668EC}: NameServer = 192.168.0.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe -- End of file - 8166 bytes |
|
06.09.2008, 10:32
| #3 |
| Administrator > Competence Manager  | BDS/Frauder.bu befall?? Hallo grandh und
__________________ Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\Fi2.32tcr2.2.exe
ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ |
|
06.09.2008, 10:42
| #4 |
| | BDS/Frauder.bu befall?? Hallo Sunny! Hier erstmal der Virustotal Report: Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.6.0 2008.09.06 -
AntiVir 7.8.1.28 2008.09.05 -
Authentium 5.1.0.4 2008.09.06 -
Avast 4.8.1195.0 2008.09.05 -
AVG 8.0.0.161 2008.09.05 -
BitDefender 7.2 2008.09.06 -
CAT-QuickHeal 9.50 2008.09.06 -
ClamAV 0.93.1 2008.09.06 -
DrWeb 4.44.0.09170 2008.09.06 -
eSafe 7.0.17.0 2008.09.03 -
eTrust-Vet 31.6.6072 2008.09.05 -
Ewido 4.0 2008.09.05 -
F-Prot 4.4.4.56 2008.09.06 -
F-Secure 8.0.14332.0 2008.09.06 -
Fortinet 3.112.0.0 2008.09.06 -
GData 19 2008.09.06 -
Ikarus T3.1.1.34.0 2008.09.06 Trojan-Clicker.Win32.VB.wj
K7AntiVirus 7.10.443 2008.09.05 -
Kaspersky 7.0.0.125 2008.09.06 -
McAfee 5378 2008.09.05 -
Microsoft 1.3903 2008.09.06 -
NOD32v2 3422 2008.09.06 -
Norman 5.80.02 2008.09.05 -
Panda 9.0.0.4 2008.09.05 -
PCTools 4.4.2.0 2008.09.05 -
Prevx1 V2 2008.09.06 -
Rising 20.60.52.00 2008.09.06 -
Sophos 4.33.0 2008.09.06 -
Sunbelt 3.1.1610.1 2008.09.05 -
Symantec 10 2008.09.06 -
TheHacker 6.3.0.8.072 2008.09.04 -
TrendMicro 8.700.0.1004 2008.09.05 -
VBA32 3.12.8.5 2008.09.05 -
ViRobot 2008.9.5.1365 2008.09.06 Trojan.Win32.Clicker.472401
VirusBuster 4.5.11.0 2008.09.05 -
Webwasher-Gateway 6.6.2 2008.09.05 -
weitere Informationen
File size: 443908 bytes
MD5...: 839b22c7c3435ba64ad03fcb3f7784c9
SHA1..: 852b868774aff9df86ee714a8da88fc98b3ce4c0
SHA256: 217b5252ebec0aa3e5b388295f9fea1866baa8e712a91d9cb7e1206e6b51a7f5
SHA512: 3dfa93ae770ce0fcf64338e703533ca3d9c48e0e75f49150d7ae03585f5a8e64
0334767fc8863dd5cfacfe6b71c7eae45de8238d663b5bd5ef74ad5ab46d3d86
PEiD..: Armadillo v1.71
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x4027e1
timedatestamp.....: 0x3c6197e1 (Wed Feb 06 20:53:53 2002)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4025 0x5000 5.71 26636061225507891e85e8c1da341e79
.rdata 0x6000 0xc9c 0x1000 4.52 94c6e87629ddfa9332179f670627f71a
.data 0x7000 0x1e58 0x1000 5.78 024f745144c10ceb56fa47f69fd00762
.rsrc 0x9000 0x94ac 0xa000 3.12 7005e80d6562155c65b29eccba95f409
( 4 imports )
> KERNEL32.dll: _lcreat, _llseek, _lread, GetTempPathA, GetSystemDefaultLangID, DeleteFileA, _lwrite, SetCurrentDirectoryA, CreateDirectoryA, GetDiskFreeSpaceA, lstrcatA, WritePrivateProfileStringA, CreateProcessA, CloseHandle, _lopen, _lclose, lstrlenA, TerminateProcess, GetCurrentProcess, GetStringTypeA, LCMapStringW, GetStringTypeW, MultiByteToWideChar, LoadLibraryA, LCMapStringA, GetOEMCP, GetACP, GetProcAddress, WriteFile, RtlUnwind, GetCPInfo, GetStdHandle, SetHandleCount, GetFileType, GetEnvironmentStrings, lstrcpyA, GetEnvironmentStringsW, GetModuleFileNameA, GetLastError, FreeEnvironmentStringsA, UnhandledExceptionFilter, FreeEnvironmentStringsW, HeapReAlloc, VirtualAlloc, HeapCreate, GetPrivateProfileStringA, lstrcmpA, HeapFree, HeapAlloc, ExitProcess, WideCharToMultiByte, HeapDestroy, VirtualFree, GetFileAttributesA, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion
> USER32.dll: LoadCursorA, RegisterClassA, RegisterClassExA, UpdateWindow, LoadIconA, LoadStringA, CreateWindowExA, ShowWindow, GetClientRect, SendMessageA, GetWindowRect, wsprintfA, DefWindowProcA, MessageBoxA, BeginPaint, MsgWaitForMultipleObjects, PeekMessageA, DestroyWindow, DrawTextA, EndPaint, GetMessageA, PostQuitMessage, PostMessageA, GetDesktopWindow, TranslateMessage, DispatchMessageA
> GDI32.dll: SelectObject, GetDeviceCaps, SetBkMode, CreateFontA
> COMCTL32.dll: -
( 0 exports )
|
|
06.09.2008, 11:03
| #5 |
| | BDS/Frauder.bu befall?? Und hier das Combofix Log. Code:
ATTFilter ComboFix 08-09-05.02 - HP_Administrator 2008-09-06 11:52:18.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1527 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\HP_Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\system32\dao350.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_TDSSSERV
-------\Service_TDSSserv
((((((((((((((((((((((( Dateien erstellt von 2008-08-06 bis 2008-09-06 ))))))))))))))))))))))))))))))
.
2099-02-12 22:05 . 2099-02-12 22:05 <DIR> d--hs---- C:\Boot
2099-02-12 22:05 . 2006-11-02 11:53 438,840 -rahs---- C:\bootmgr
2099-02-12 22:05 . 2099-02-12 22:05 8,192 -ra-s---- C:\BOOTSECT.BAK
2008-09-06 11:45 . 2008-09-06 11:45 <DIR> d-------- C:\Programme\CCleaner
2008-09-05 23:57 . 2008-09-05 23:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-09-05 23:56 . 2008-09-05 23:56 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-09-05 22:02 . 2008-09-05 22:02 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-05 22:02 . 2008-09-05 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Malwarebytes
2008-09-05 22:02 . 2008-09-05 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-05 22:02 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-05 22:02 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-05 21:02 . 2008-09-05 21:02 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-09-05 21:02 . 2008-09-06 11:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-01 22:51 . 2008-09-01 22:51 <DIR> d-------- C:\Programme\uTorrent
2008-09-01 22:51 . 2008-09-04 22:39 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\uTorrent
2008-08-18 18:25 . 2008-08-18 18:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-08-15 20:08 . 2008-08-16 00:52 <DIR> d-------- C:\flatout
2008-08-13 21:08 . 2008-05-01 16:34 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-13 21:07 . 2008-04-11 21:04 691,712 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-13 20:54 . 2008-08-13 20:54 <DIR> d-------- C:\WINDOWS\system32\de
2008-08-13 20:54 . 2008-08-13 20:54 <DIR> d-------- C:\WINDOWS\system32\bits
2008-08-13 20:54 . 2008-08-13 20:54 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-13 20:52 . 2008-08-13 20:54 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-13 20:22 . 2008-08-29 18:22 <DIR> d-------- C:\Programme\Suunto Activity Manager
2008-08-13 20:08 . 2006-05-24 04:42 102,400 -ra------ C:\WINDOWS\system32\FTLang.dll
2008-08-13 20:08 . 2006-05-18 03:49 61,067 -ra------ C:\WINDOWS\system32\drivers\ftser2k.sys
2008-08-13 20:08 . 2006-05-19 05:51 33,360 -ra------ C:\WINDOWS\system32\ftserui2.dll
2008-08-13 20:07 . 2006-05-24 04:40 188,416 -ra------ C:\WINDOWS\system32\ftdiunin.exe
2008-08-13 20:07 . 2006-05-24 04:45 176,128 -ra------ C:\WINDOWS\system32\ftd2xx.dll
2008-08-13 20:07 . 2006-05-24 04:47 106,496 -ra------ C:\WINDOWS\system32\ftbusui.dll
2008-08-13 20:07 . 2006-05-18 03:48 47,249 -ra------ C:\WINDOWS\system32\drivers\ftdibus.sys
2008-08-13 20:07 . 2006-05-24 05:04 133 -ra------ C:\WINDOWS\system32\ftdiun2k.ini
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-06 08:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-05 21:31 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-09-05 19:20 --------- d-----w C:\Programme\BearShare
2008-09-05 19:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-04 19:58 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Skype
2008-09-04 19:56 --------- d-----w C:\Programme\Steam
2008-09-04 19:21 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\skypePM
2008-09-01 21:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-09-01 21:09 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Azureus
2008-09-01 16:54 --------- d-----w C:\Programme\Lexmark X1100 Series
2008-08-30 15:14 --------- d-----w C:\Programme\mIRC
2008-08-25 15:52 42,067 ----a-w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\mdbu.bin
2008-08-24 16:29 --------- d-----w C:\Programme\HappyFoto
2008-08-24 16:24 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\HappyFoto
2008-08-18 16:25 --------- d-----w C:\Programme\Skype
2008-08-18 16:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-08-05 17:57 --------- d-----w C:\Programme\Team MediaPortal
2008-08-01 12:20 --------- d-----w C:\Programme\Java
2008-07-13 13:23 137,840 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-07-06 15:02 --------- d-----w C:\Programme\MCEDev.com
2008-07-06 15:01 --------- d-----w C:\Programme\UltraVNC
2008-07-06 14:59 --------- d-----w C:\Programme\Electronic Arts
2008-07-06 14:58 --------- d-----w C:\Programme\DynamicPhotoHDR
2008-06-01 16:26 46,232 ----a-w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-01-22 18:49 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-01-19 14:44 1 ----a-w C:\Dokumente und Einstellungen\HP_Administrator\SI.bin
2006-12-24 11:35 0 ----a-w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\wklnhst.dat
2006-11-22 17:06 251 ----a-w C:\Programme\wt3d.ini
2006-11-21 19:40 22 --sha-w C:\WINDOWS\SMINST\HPCD.sys
2007-04-24 18:12 900 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-08-29 171464]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2005-07-22 237568]
"CTSysVol"="C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe" [2003-09-17 57344]
"amd_dc_opt"="C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2006-11-17 77824]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-25 266497]
"KBD"="C:\HP\KBD\KBD.EXE" [2005-02-02 61440]
"ftutil2"="ftutil2.dll" [2004-06-07 C:\WINDOWS\system32\ftutil2.dll]
"AlwaysReady Power Message APP"="ARPWRMSG.EXE" [2005-08-03 C:\WINDOWS\arpwrmsg.exe]
"UpdReg"="UpdReg.exe" [2000-05-11 C:\WINDOWS\Updreg.EXE]
"CtxfiReg"="CTxfiReg.exe" [2006-08-11 C:\WINDOWS\system32\CTXFIREG.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"YouP-PAX 3.63.03 Tone Color Restorer"="C:\WINDOWS\system32\Fi2.32tcr2.2.exe" [2007-05-31 443908]
"CTxfiReg"="CTxfiReg.exe" [2006-08-11 C:\WINDOWS\system32\CTXFIREG.EXE]
"CTxfiHlp"="CTxfiHlp.exe" [2006-08-11 C:\WINDOWS\system32\CTXFIHLP.EXE]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ckpNotify]
2006-04-09 21:59 24674 C:\WINDOWS\system32\ckpNotify.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMAScheduler]
--a------ 2006-04-13 10:05 90112 c:\Programme\HP DigitalMedia Archive\DMAScheduler.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-02-16 23:11 49152 C:\Programme\HP\HP Software Update\hpwuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]
--a------ 2003-08-19 16:51 57344 C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"x10nets"=2 (0x2)
"PnkBstrA"=2 (0x2)
"gusvc"=3 (0x3)
"Bonjour Service"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_Service.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_GUI.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\scc.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_SDS.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_Diagnostics.exe"=
"C:\\Programme\\Xming\\Xming.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
R1 atitray;atitray;C:\Programme\Ray Adams\ATI Tray Tools\atitray.sys [2007-05-22 18088]
R2 CP_OMDRV;Check Point Office Mode Module;C:\WINDOWS\system32\drivers\omdrv.sys [2006-04-09 36400]
R2 VNASC;Check Point Virtual Network Adapter - SecureClient;C:\WINDOWS\system32\DRIVERS\vnasc.sys [2006-04-09 109072]
R2 VPN-1;VPN-1 Module;C:\WINDOWS\system32\drivers\vpn.sys [2006-04-09 671472]
R3 FW1;SecuRemote Miniport;C:\WINDOWS\system32\DRIVERS\fw.sys [2006-04-09 2234320]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]
S3 AmdTools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\AmdTools.sys [ ]
S3 W700bus;Sony Ericsson W700 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\W700bus.sys [2006-02-19 61536]
S3 W700mdfl;Sony Ericsson W700 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\W700mdfl.sys [2006-02-19 9264]
S3 W700mdm;Sony Ericsson W700 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\W700mdm.sys [2006-02-19 97056]
S3 W700mgmt;Sony Ericsson W700 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\W700mgmt.sys [2006-02-19 88560]
S3 W700obex;Sony Ericsson W700 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\W700obex.sys [2006-02-19 86368]
S3 WN5301;LIteon Wireless PCI Network Adapter Service;C:\WINDOWS\system32\DRIVERS\wn5301.sys [2005-10-05 468768]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{01c02430-7a4e-11db-8408-0018f3353912}]
\Shell\AutoRun\command - E:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{806c4850-7987-11db-b44d-806d6172696f}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -
HKLM-Run-RTHDCPL - RTHDCPL.EXE
MSConfigStartUp-lphcpg0j0ee5e - C:\WINDOWS\system32\lphcpg0j0ee5e.exe
MSConfigStartUp-PCDrProfiler - C:\Programme\PC-Doctor 5 for Windows\RunProfiler.exe
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kfhzu34j.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.tirol.com
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-06 11:56:04
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\arservice.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-06 12:00:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-06 10:00:06
Pre-Run: 14 Verzeichnis(se), 26,592,669,696 Bytes frei
Post-Run: 21 Verzeichnis(se), 26,504,105,984 Bytes frei
212 --- E O F --- 2008-07-10 20:18:46
|
|
06.09.2008, 11:19
| #6 |
| Administrator > Competence Manager | BDS/Frauder.bu befall?? Scripten mit Combofix
Code:
ATTFilter FILE::
C:\WINDOWS\system32\Fi2.32tcr2.2.exe
DIRLOOK::
C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann Combofix Deinstallieren Klick auf Start -> Ausführen -> eintippen combofix /U  Damit ist Combofix und alle weiteren Programme entfernt wurden. Mach im nachhinein noch einen Fullscan mit Antivir nach diesen Einstellungen: Avira Antivir - Agressive Einstellungen Gruß Sunny
__________________ --> BDS/Frauder.bu befall?? |
|
06.09.2008, 11:31
| #7 |
| | BDS/Frauder.bu befall?? So hier nochmal das Combofix Log nach obiger Anweisung: Code:
ATTFilter ComboFix 08-09-05.02 - HP_Administrator 2008-09-06 12:26:09.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1593 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\HP_Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\HP_Administrator\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\Fi2.32tcr2.2.exe
.
((((((((((((((((((((((( Dateien erstellt von 2008-08-06 bis 2008-09-06 ))))))))))))))))))))))))))))))
.
2099-02-12 22:05 . 2099-02-12 22:05 <DIR> d--hs---- C:\Boot
2099-02-12 22:05 . 2006-11-02 11:53 438,840 -rahs---- C:\bootmgr
2099-02-12 22:05 . 2099-02-12 22:05 8,192 -ra-s---- C:\BOOTSECT.BAK
2008-09-06 11:45 . 2008-09-06 11:45 <DIR> d-------- C:\Programme\CCleaner
2008-09-05 22:02 . 2008-09-05 22:02 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-05 22:02 . 2008-09-05 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Malwarebytes
2008-09-05 22:02 . 2008-09-05 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-05 22:02 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-05 22:02 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-05 21:02 . 2008-09-05 21:02 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-09-05 21:02 . 2008-09-06 11:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-01 22:51 . 2008-09-01 22:51 <DIR> d-------- C:\Programme\uTorrent
2008-09-01 22:51 . 2008-09-04 22:39 <DIR> d-------- C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\uTorrent
2008-08-18 18:25 . 2008-08-18 18:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-08-15 20:08 . 2008-08-16 00:52 <DIR> d-------- C:\flatout
2008-08-13 21:08 . 2008-05-01 16:34 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-13 21:07 . 2008-04-11 21:04 691,712 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-13 20:54 . 2008-08-13 20:54 <DIR> d-------- C:\WINDOWS\system32\de
2008-08-13 20:54 . 2008-08-13 20:54 <DIR> d-------- C:\WINDOWS\system32\bits
2008-08-13 20:54 . 2008-08-13 20:54 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-13 20:52 . 2008-08-13 20:54 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-13 20:22 . 2008-08-29 18:22 <DIR> d-------- C:\Programme\Suunto Activity Manager
2008-08-13 20:08 . 2006-05-24 04:42 102,400 -ra------ C:\WINDOWS\system32\FTLang.dll
2008-08-13 20:08 . 2006-05-18 03:49 61,067 -ra------ C:\WINDOWS\system32\drivers\ftser2k.sys
2008-08-13 20:08 . 2006-05-19 05:51 33,360 -ra------ C:\WINDOWS\system32\ftserui2.dll
2008-08-13 20:07 . 2006-05-24 04:40 188,416 -ra------ C:\WINDOWS\system32\ftdiunin.exe
2008-08-13 20:07 . 2006-05-24 04:45 176,128 -ra------ C:\WINDOWS\system32\ftd2xx.dll
2008-08-13 20:07 . 2006-05-24 04:47 106,496 -ra------ C:\WINDOWS\system32\ftbusui.dll
2008-08-13 20:07 . 2006-05-18 03:48 47,249 -ra------ C:\WINDOWS\system32\drivers\ftdibus.sys
2008-08-13 20:07 . 2006-05-24 05:04 133 -ra------ C:\WINDOWS\system32\ftdiun2k.ini
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-06 08:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-05 21:31 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-09-05 19:20 --------- d-----w C:\Programme\BearShare
2008-09-05 19:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-04 19:58 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Skype
2008-09-04 19:56 --------- d-----w C:\Programme\Steam
2008-09-04 19:21 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\skypePM
2008-09-01 21:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-09-01 21:09 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\Azureus
2008-09-01 16:54 --------- d-----w C:\Programme\Lexmark X1100 Series
2008-08-30 15:14 --------- d-----w C:\Programme\mIRC
2008-08-25 15:52 42,067 ----a-w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\mdbu.bin
2008-08-24 16:29 --------- d-----w C:\Programme\HappyFoto
2008-08-24 16:24 --------- d-----w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\HappyFoto
2008-08-18 16:25 --------- d-----w C:\Programme\Skype
2008-08-18 16:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-08-05 17:57 --------- d-----w C:\Programme\Team MediaPortal
2008-08-01 12:20 --------- d-----w C:\Programme\Java
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-13 13:23 137,840 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-07-13 13:23 111,928 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:26 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
2008-07-06 15:02 --------- d-----w C:\Programme\MCEDev.com
2008-07-06 15:01 --------- d-----w C:\Programme\UltraVNC
2008-07-06 14:59 --------- d-----w C:\Programme\Electronic Arts
2008-07-06 14:58 --------- d-----w C:\Programme\DynamicPhotoHDR
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:42 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-24 08:14 3,592,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-23 09:20 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-06-23 09:20 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-21 05:23 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:46 247,296 ------w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:46 147,968 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 11:51 361,600 ------w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 11:40 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 11:08 225,856 ------w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-01 16:26 46,232 ----a-w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-01-22 18:49 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-01-19 14:44 1 ----a-w C:\Dokumente und Einstellungen\HP_Administrator\SI.bin
2006-12-24 11:35 0 ----a-w C:\Dokumente und Einstellungen\HP_Administrator\Anwendungsdaten\wklnhst.dat
2006-11-22 17:06 251 ----a-w C:\Programme\wt3d.ini
2006-11-21 19:40 22 --sha-w C:\WINDOWS\SMINST\HPCD.sys
2007-04-24 18:12 900 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp ----
2008-09-06 12:25 720896 --a------ C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\irsetup.exe
2008-09-06 12:01 173 --a------ C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\jusched.log
2007-10-21 21:40 94208 --a------ C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temp\KAVA.tmp
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-08-29 171464]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2005-07-22 237568]
"CTSysVol"="C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe" [2003-09-17 57344]
"amd_dc_opt"="C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2006-11-17 77824]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-25 266497]
"KBD"="C:\HP\KBD\KBD.EXE" [2005-02-02 61440]
"ftutil2"="ftutil2.dll" [2004-06-07 C:\WINDOWS\system32\ftutil2.dll]
"AlwaysReady Power Message APP"="ARPWRMSG.EXE" [2005-08-03 C:\WINDOWS\arpwrmsg.exe]
"UpdReg"="UpdReg.exe" [2000-05-11 C:\WINDOWS\Updreg.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"CTxfiReg"="CTxfiReg.exe" [2006-08-11 C:\WINDOWS\system32\CTXFIREG.EXE]
"CTxfiHlp"="CTxfiHlp.exe" [2006-08-11 C:\WINDOWS\system32\CTXFIHLP.EXE]
C:\Dokumente und Einstellungen\HP_Administrator\Startmen\Programme\Autostart\
ATI Tray Tools.lnk - C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe [2007-05-22 521128]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ckpNotify]
2006-04-09 21:59 24674 C:\WINDOWS\system32\ckpNotify.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DMAScheduler]
--a------ 2006-04-13 10:05 90112 c:\Programme\HP DigitalMedia Archive\DMAScheduler.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-02-16 23:11 49152 C:\Programme\HP\HP Software Update\hpwuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]
--a------ 2003-08-19 16:51 57344 C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"x10nets"=2 (0x2)
"PnkBstrA"=2 (0x2)
"gusvc"=3 (0x3)
"Bonjour Service"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_Service.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_GUI.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\scc.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_SDS.exe"=
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_Diagnostics.exe"=
"C:\\Programme\\Xming\\Xming.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"C:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
R1 atitray;atitray;C:\Programme\Ray Adams\ATI Tray Tools\atitray.sys [2007-05-22 18088]
R2 CP_OMDRV;Check Point Office Mode Module;C:\WINDOWS\system32\drivers\omdrv.sys [2006-04-09 36400]
R2 VNASC;Check Point Virtual Network Adapter - SecureClient;C:\WINDOWS\system32\DRIVERS\vnasc.sys [2006-04-09 109072]
R2 VPN-1;VPN-1 Module;C:\WINDOWS\system32\drivers\vpn.sys [2006-04-09 671472]
R3 FW1;SecuRemote Miniport;C:\WINDOWS\system32\DRIVERS\fw.sys [2006-04-09 2234320]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]
S3 AmdTools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\AmdTools.sys [ ]
S3 W700bus;Sony Ericsson W700 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\W700bus.sys [2006-02-19 61536]
S3 W700mdfl;Sony Ericsson W700 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\W700mdfl.sys [2006-02-19 9264]
S3 W700mdm;Sony Ericsson W700 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\W700mdm.sys [2006-02-19 97056]
S3 W700mgmt;Sony Ericsson W700 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\W700mgmt.sys [2006-02-19 88560]
S3 W700obex;Sony Ericsson W700 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\W700obex.sys [2006-02-19 86368]
S3 WN5301;LIteon Wireless PCI Network Adapter Service;C:\WINDOWS\system32\DRIVERS\wn5301.sys [2005-10-05 468768]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{01c02430-7a4e-11db-8408-0018f3353912}]
\Shell\AutoRun\command - E:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{806c4850-7987-11db-b44d-806d6172696f}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-RunOnce-YouP-PAX 3.63.03 Tone Color Restorer - C:\WINDOWS\system32\Fi2.32tcr2.2.exe
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-06 12:27:08
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-06 12:28:05
ComboFix-quarantined-files.txt 2008-09-06 10:27:52
ComboFix2.txt 2008-09-06 10:00:11
Pre-Run: 14 Verzeichnis(se), 26,557,218,816 Bytes frei
Post-Run: 20 Verzeichnis(se), 26,539,114,496 Bytes frei
215 --- E O F --- 2008-07-10 20:18:46
|
|
06.09.2008, 12:35
| #8 |
| | BDS/Frauder.bu befall?? Antivir Komplettscan mit obigen Einstellungen ist auch durch. Es wurde nichts mehr gefunden. Ich hoffe ich bin jetzt wirklich sauber. Vielen Dank für die Hilfe, ist wirklich ein super Board hier!!!!!   |
|
| Themen zu BDS/Frauder.bu befall?? |
| 100%, ad-aware, administrator, antivir, avg, avgnt.exe, ctfmon.exe, desktop, dllhost.exe, drivers, einstellungen, fehler, firefox, google, hijack.wallpaper, hijackthis, ie 10, jusched.exe, logfile, logon.exe, malwarebytes' anti-malware, microsoft, mozilla, neu, neu aufsetzen, nt.dll, problem, programme, registrierungsschlüssel, registry, rogue.multiple, services.exe, software, suchlauf, svchost.exe, system, verweise, virus, virus gefunden, warnung, windows\system32\drivers, winlogon.exe |
Linear-Darstellung
