| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Ie Fenster zur Überprüfung Standardbrowser geht ständig aufWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
08.10.2008, 13:26
| #1 |
| /// TB-Ausbilder     |  Ie Fenster zur Überprüfung Standardbrowser geht ständig auf Ich setz mich mal dazu und guck was passiert.  Bin ja gar nicht neugierig.  lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
08.10.2008, 13:31
| #2 | |
| | Ie Fenster zur Überprüfung Standardbrowser geht ständig aufZitat:
Wenn das System soweiso im *zensiert* ist  , spiele ich vorher noch ein wenig mit GMER und Sophos Anti-Rootkit rum, aber nicht ehe ich brav  auf Root24's Rückmeldung gewartet habe. |
|
08.10.2008, 14:07
| #3 |
| | Ie Fenster zur Überprüfung Standardbrowser geht ständig auf Erwischt...
__________________Habe die exe Datei kopiert und als txt abgespeichert. Die Analyse bei Virustotal ergab dies hier: Code:
ATTFilter
Datei test.txt empfangen 2008.09.30 15:42:05 (CET)
Status: Beendet
Ergebnis: 6/36 (16.67%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - Win32:Gamona
AVG - - Win32/Heur
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - Suspicious:W32/Malware!Gemini
Fortinet - - -
GData - - Win32:Gamona
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32 - - -
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - Suspicious
Rising - - -
SecureWeb-Gateway - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
weitere Informationen
MD5: 99faa05177ce42b7c18ccacf81852611
SHA1: d6fe3bbd9f4d3f88a73e7b4a684ba60b6c576be6
SHA256: 0d284c1840b14ea5afabb835c44e4b3df58ba02847c64f1095aaf6f36efa6ede
SHA512: 14344ea5793edb49425d62ab22cf5c767e201c69cc9c32fe45d7f27a21c5f80ce6d3d46797066d17febc764b415b0ab5633ab0b1b2eec098317ecf874e93d2bb
|
|
08.10.2008, 19:04
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ |  Ie Fenster zur Überprüfung Standardbrowser geht ständig auf Scheint was neues zu sein. Wenn Du magst, sende mir davon eine Kopie an root240@XXXarcorXXX.de (die XXX bitte entfernen, die dienen als Spamschutz) Code:
ATTFilter C:\DOKUME~1\xxx\LOKALE~1\Temp\jatmlano.sys
C:\WINDOWS\HKCYDLL.dll
Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!) Code:
ATTFilter Collect::
C:\DOKUME~1\xxx\LOKALE~1\Temp\jatmlano.sys
C:\WINDOWS\HKCYDLL.dll
DirLook::
c:\WINDOWS\system32\.d98b63cad1f348ac
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\arwnkhwz
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xazgvipg
Rootkit::
c:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.AT.config
C:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.exe
c:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.core.dll
c:\WINDOWS\system32\.d98b63cad1f348ac\d98b63cad1f348ac.ServerPlugin.config
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! -- Danach: (auch hier die xxx durch das richtige ersetzen!!) Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter files to delete:
C:\DOKUME~1\xxx\LOKALE~1\Temp\jatmlano.sys
C:\WINDOWS\HKCYDLL.dll
folders to delete:
c:\WINDOWS\system32\.d98b63cad1f348ac
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\arwnkhwz
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xazgvipg
registry keys to delete:
HKLM\System\ControlSet001\Services\d98b63cad1f348ac
drivers to delete:
jatmlano
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
09.10.2008, 08:41
| #5 |
| | Ie Fenster zur Überprüfung Standardbrowser geht ständig auf Guten Morgen und einen weiteren Dank rüberreich, wundere dich nicht über den Inhalt der Logs. Ich habe gestern beim Reparieren gepennt und einen Vertipper beim Austausch der xxx fabriziert.  Deshalb dann ein zweiter Lauf, diesmal richtig, aber ohne vorige Sicherung der alten Logs (war schon richtig spät ..., trotzdem  ). Anyway, soweit ich sehen kann, war alles erfolgreich.Gmer findet nix mehr, sophos auch nicht, beide hatten vorher die d98er Dateien angemeckert. In der reg habe ich noch manuell nach den Übeltätern gesucht und einige "legacy" Einträge gelöscht, was immer die da auch sollten... Virustotal hat bei der dll keine Rückmeldung gebracht, die sys war auf der HD nicht zu finden. Zur Dll: Beim Neustart meckert die Kiste jetzt, dass die CNHKEY.exe nicht mehr läuft bzw. gestartet werden kann. Diese Anwendung sollte die Hotkeys meiner Tastatur steuern, funzt aber trotz der Fehlermeldung einwandfrei.  CPU-Auslastung sieht gut aus und passt zu den lfd. Prozessen. Der ie ist bisher nicht wieder aufgetaucht *aufHolzhämmer* Ein völliges Rätsel bleibt: Dein Combo-Skript hat nicht nur die hidden Dateien sondern auch die kopierte und umbenannte Test_exe.txt gelöscht! Die übrig gebliebenen maile ich dir zu. Combo: Code:
ATTFilter ComboFix 08-10-07.06 - xxx 2008-10-08 20:31:53.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.646 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\xxx\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
((((((((((((((((((((((( Dateien erstellt von 2008-09-08 bis 2008-10-08 ))))))))))))))))))))))))))))))
.
2008-10-08 14:41 . 2008-10-08 16:49 250 --a------ C:\WINDOWS\gmer.ini
2008-10-08 12:57 . 2008-10-08 12:57 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\DoctorWeb
2008-10-07 13:24 . 2008-07-18 22:09 29,896 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-10-07 11:19 . 2008-10-07 11:19 1,209 --a------ C:\WINDOWS\uninst.ini
2008-10-07 09:11 . 2008-10-07 09:11 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-10-05 17:54 . 2008-10-05 17:54 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-10-05 17:54 . 2008-10-07 11:07 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-10-05 15:59 . 2008-10-05 15:59 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes
2008-10-05 15:59 . 2008-10-05 15:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-05 15:59 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-05 15:59 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-04 20:29 . 2008-10-04 20:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nodetmpe
2008-10-04 19:30 . 2008-10-04 19:30 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-10-04 14:26 . 2008-10-04 14:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-04 14:25 . 2008-10-04 14:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-23 20:51 . 2008-09-23 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\jd
2008-09-23 20:51 . 2008-09-23 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\config
2008-09-22 17:13 . 2008-09-22 17:13 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-09-19 19:42 . 2008-05-16 11:48 446,464 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-09-19 19:42 . 2008-05-19 18:16 186,407 --a------ C:\WINDOWS\system32\nvapps.nvb
2008-09-19 19:32 . 2008-09-19 19:33 <DIR> d-------- C:\Programme\SystemRequirementsLab
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-08 18:35 17,408 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS
2008-10-08 18:35 --------- d-----w C:\Programme\SpeedFan
2008-10-08 18:29 --------- d-----w C:\Programme\firefox
2008-10-08 18:24 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\FRITZ!
2008-10-08 15:14 --------- d-----w C:\Programme\SpeedCommander 11
2008-10-08 09:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-07 11:21 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\MediaMan
2008-10-04 11:44 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Lavasoft
2008-10-04 11:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
2008-10-03 10:33 --------- d-----w C:\Programme\Java
2008-09-22 17:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-22 17:22 --------- d-----w C:\Programme\FlashGet
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-12-25 09:39 92,064 ----a-w C:\Dokumente und Einstellungen\xxx\mqdmmdm.sys
2007-12-25 09:39 9,232 ----a-w C:\Dokumente und Einstellungen\xxx\mqdmmdfl.sys
2007-12-25 09:39 79,328 ----a-w C:\Dokumente und Einstellungen\xxx\mqdmserd.sys
2007-12-25 09:39 66,656 ----a-w C:\Dokumente und Einstellungen\xxx\mqdmbus.sys
2007-12-25 09:39 6,208 ----a-w C:\Dokumente und Einstellungen\xxx\mqdmcmnt.sys
2007-12-25 09:39 5,936 ----a-w C:\Dokumente und Einstellungen\xxxx\mqdmwhnt.sys
2007-12-25 09:39 4,048 ----a-w C:\Dokumente und Einstellungen\xxx\mqdmcr.sys
2007-12-25 09:39 25,600 ----a-w C:\Dokumente und Einstellungen\xxx\usbsermptxp.sys
2007-12-25 09:39 22,768 ----a-w C:\Dokumente und Einstellungen\xxx\usbsermpt.sys
2007-12-16 17:27 34,534 ----a-w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\mdb.bin
2004-12-01 08:21 468 ----a-w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\wklnhst.dat
2004-10-17 17:30 8 --sh--r C:\WINDOWS\system32\32828BBAAC.sys
2004-10-17 17:30 5,224 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\arwnkhwz ----
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\arwnkhwz\
---- Directory of C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xazgvipg ----
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xazgvipg\
---- Directory of c:\WINDOWS\system32\.d98b63cad1f348ac ----
c:\WINDOWS\system32\.d98b63cad1f348ac\
((((((((((((((((((((((((((((( snapshot@2008-10-08_11.52.32.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-10-08 12:41:16 819,200 ----a-w C:\WINDOWS\gmer.dll
+ 2008-01-18 18:31:10 757,760 ----a-w C:\WINDOWS\gmer.exe
+ 2008-07-19 14:43:08 1,163,960 ----a-w C:\WINDOWS\system32\aswBoot.exe
+ 2008-07-19 14:30:53 94,392 ----a-w C:\WINDOWS\system32\AvastSS.scr
+ 2008-07-19 14:32:15 26,944 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
+ 2008-07-19 14:37:42 20,560 ----a-w C:\WINDOWS\system32\drivers\aswFsBlk.sys
+ 2008-01-17 16:34:01 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
+ 2008-07-19 14:37:21 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
+ 2008-07-19 14:35:18 78,416 ----a-w C:\WINDOWS\system32\drivers\aswSP.sys
+ 2008-10-08 12:41:16 85,713 ----a-w C:\WINDOWS\system32\drivers\gmer.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 13529088]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2004-09-14 131072]
"avgnt"="C:\tools\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-11 266497]
"DAEMON Tools"="d:\tools\DAEMON Tools\daemon.exe" [2005-11-09 128920]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"QuickTime Task"="D:\Programme\quicktime\qttask.exe" [2006-09-01 282624]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Dit"="Dit.exe" [2004-07-20 C:\WINDOWS\Dit.exe]
"CHotkey"="mHotkey.exe" [2004-02-24 C:\WINDOWS\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2004-02-03 C:\WINDOWS\CNYHKey.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2004-02-20 C:\WINDOWS\AGRSMMSG.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
C:\Dokumente und Einstellungen\xxx\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [2007-01-23 917504]
FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [2007-01-23 679936]
SpeedFan.lnk - C:\Programme\SpeedFan\speedfan.exe [2007-02-28 2796544]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Scanner Finder.lnk - C:\Programme\ScanWizard 5\ScannerFinder.exe [2005-03-09 315392]
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ulead Kalendar Checker 4.0 SE.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ulead Kalendar Checker 4.0 SE.lnk
backup=C:\WINDOWS\pss\Ulead Kalendar Checker 4.0 SE.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="D:\Programme\quicktime\qttask.exe" -atboottime
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\DFUE\\FlashFXP\\flashfxp.exe"=
"E:\\fear\\FEAR.exe"=
"D:\\Programme\\mIRC\\mirc.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\FlashGet\\flashget.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Programme\\Java\\jre1.6.0_05\\launch4j-tmp\\JDownloader.exe"=
R0 Defrag32b;Defrag32Boot;C:\WINDOWS\system32\drivers\Defrag32b.sys [2004-10-23 54424]
R0 PQV2i;PQV2i;C:\WINDOWS\system32\drivers\PQV2i.sys [2003-06-03 123957]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 11264]
R1 PQIMount;PQIMount;C:\WINDOWS\system32\drivers\PQIMount.sys [2003-06-03 46900]
R2 ACEDRV08;ACEDRV08;C:\WINDOWS\system32\drivers\ACEDRV08.sys [2008-03-15 108768]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 Defrag32;Defrag32;C:\WINDOWS\system32\drivers\Defrag32.sys [2004-10-23 54424]
R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-19 53248]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-06 945152]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 1272000]
R3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 11672]
R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 19928]
S2 PDSched;PDScheduler;D:\Tools\PerfectDisk\PDSched.exe [2005-01-12 237635]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-19 77824]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-19 77824]
S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-10-08 17408]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\E.tmp [ ]
S3 motccgp;Motorola USB Composite Device Driver;C:\WINDOWS\system32\DRIVERS\motccgp.sys [2007-02-27 17792]
S3 motccgpfl;MotCcgpFlService;C:\WINDOWS\system32\DRIVERS\motccgpfl.sys [2007-01-23 7680]
S3 MotDev;Motorola Inc. USB Device;C:\WINDOWS\system32\DRIVERS\motodrv.sys [2006-12-14 40832]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 367104]
S3 TSMPacket;T-DSL SpeedManager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [ ]
S3 USB-100;Realtek RTL8150 USB 10/100 Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\RTL8150.SYS [2002-02-22 26505]
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-08 20:35:43
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\E.tmp"
.
------------------------ Weitere laufende Prozesse ------------------------
.
D:\Tools\adaware\aawservice.exe
D:\Tools\Avast\aswUpdSv.exe
D:\Tools\Avast\ashServ.exe
C:\WINDOWS\system32\scardsvr.exe
C:\tools\AntiVir PersonalEdition Classic\sched.exe
C:\tools\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\ComboFix\pv.cfexe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-08 20:38:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-08 18:38:11
ComboFix2.txt 2008-10-08 18:20:55
ComboFix3.txt 2008-10-08 09:53:21
Vor Suchlauf: 654.925.824 Bytes frei
Nach Suchlauf: 640,716,800 Bytes frei
203
Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "C:\DOKUME~1\xxx\LOKALE~1\Temp\jatmlano.sys" not found!
Deletion of file "C:\DOKUME~1\xxx\LOKALE~1\Temp\jatmlano.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\HKCYDLL.dll" not found!
Deletion of file "C:\WINDOWS\HKCYDLL.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: folder "c:\WINDOWS\system32\.d98b63cad1f348ac" not found!
Deletion of folder "c:\WINDOWS\system32\.d98b63cad1f348ac" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\arwnkhwz" not found!
Deletion of folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\arwnkhwz" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xazgvipg" not found!
Deletion of folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xazgvipg" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKLM\System\ControlSet001\Services\d98b63cad1f348ac" not found!
Deletion of registry key "HKLM\System\ControlSet001\Services\d98b63cad1f348ac" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\jatmlano" not found!
Deletion of driver "jatmlano" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
Steffi |
|
09.10.2008, 09:26
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ |  Ie Fenster zur Überprüfung Standardbrowser geht ständig auf Benutz nochmal den Avenger aber diesmal mit diesem script: Code:
ATTFilter drivers to delete:
MEMSWEEP2
registry keys to delete:
HKLM\System\ControlSet001\Services\MEMSWEEP2
files to delete:
C:\WINDOWS\system32\E.tmp
__________________ --> Ie Fenster zur Überprüfung Standardbrowser geht ständig auf |
|
09.10.2008, 14:04
| #7 |
| | Ie Fenster zur Überprüfung Standardbrowser geht ständig auf Done. Avenger: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Driver "MEMSWEEP2" deleted successfully.
Error: registry key "HKLM\System\ControlSet001\Services\MEMSWEEP2" not found!
Deletion of registry key "HKLM\System\ControlSet001\Services\MEMSWEEP2" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "C:\WINDOWS\system32\E.tmp" not found!
Deletion of file "C:\WINDOWS\system32\E.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
zeigte zunächst eine Fehlermeldung an, lief dann aber: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:01:41, on 09.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Tools\adaware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\tools\AntiVir PersonalEdition Classic\sched.exe C:\tools\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\FreePDF_XP\fpassist.exe C:\tools\AntiVir PersonalEdition Classic\avgnt.exe D:\tools\DAEMON Tools\daemon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\ScanWizard 5\ScannerFinder.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\SpeedFan\speedfan.exe C:\WINDOWS\System32\svchost.exe D:\Tools\highjackthis\HijackThis.exe C:\PROGRA~1\FIREFOX\FIREFOX.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\DFUE\FlashFXP\IEFlash.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [avgnt] "C:\tools\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DAEMON Tools] "d:\tools\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\quicktime\qttask.exe" -atboottime O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250 O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Tools\adaware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\tools\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\tools\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - D:\Tools\PerfectDisk\PDSched.exe O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\Drive Image 7.0\Agent\PQV2iSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe -- End of file - 7141 bytes LG Steffi |
|
| Themen zu Ie Fenster zur Überprüfung Standardbrowser geht ständig auf |
| ad-aware, adobe, antivir, avira, bho, computer, ctfmon.exe, dll, dsl, excel, explorer, firefox, google, highjackthis, hijackthis, hkus\s-1-5-18, ie fenster, internet, internet explorer, jusched.exe, monitor, nvidia, programme, rundll, rückgängig, sekunden, software, system neu, trojaner, urlsearchhook, windows, windows xp |
Hybrid-Darstellung
