HDplugin Virus,wie beseitigen?

Angel21 · 07.03.2009, 23:00

mach erst mal Malwarebytes, dann combofix bitte

simagain · 07.03.2009, 23:16

hier das malewarebyte Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 2

2009-03-07 23:15:22
mbam-log-2009-03-07 (23-15-22).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 142054
Laufzeit: 34 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.155,85.255.112.153 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0dd0e93f-6149-4d14-8284-fd8d2d6df3d5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.155,85.255.112.153 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.155,85.255.112.153 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{0dd0e93f-6149-4d14-8284-fd8d2d6df3d5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.155,85.255.112.153 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.155,85.255.112.153 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{0dd0e93f-6149-4d14-8284-fd8d2d6df3d5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.155,85.255.112.153 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Sehr komisch, nichts gefunden?

Combofix Log:

Zitat:

ComboFix 09-03-06.02 - Simon 2009-03-07 23:19:42.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2046.1737 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Simon\Eigene Dateien\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\dokumente und einstellungen\Simon\Uninstall.exe
c:\windows\regedit.com
c:\windows\system32\drivers\gaopdxkkqqkojtllghlurspwampmmcxobvuvjt.sys
c:\windows\system32\drivers\gaopdxmburrwowbnmpfqxsbrfoawhtkspylqbd.sys
c:\windows\system32\gaopdxcounter
c:\windows\system32\gaopdxmtnqwmkjneonwevnjkbwkjfxnmtnthks.dll
c:\windows\system32\taskmgr.com
F:\Autorun.inf
f:\recycler\S-8-7-62-100030998-100007019-100028898-3164.com

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-07 bis 2009-03-07 ))))))))))))))))))))))))))))))
.

2009-03-07 22:38 . 2009-03-07 22:38 <DIR> d-------- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Malwarebytes
2009-03-07 22:25 . 2009-03-07 22:26 2,533,020 --a------ c:\windows\REGBK00.ZIP
2009-03-07 21:44 . 2009-03-07 22:02 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-07 21:44 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-07 21:44 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-07 21:37 . 2009-03-07 21:37 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-07 21:33 . 2009-03-07 21:33 <DIR> d-------- c:\programme\CCleaner
2009-03-07 17:31 . 2009-03-06 20:03 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-03-07 17:31 . 2009-03-06 20:03 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-03-07 17:31 . 2009-03-07 17:31 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-03-07 17:31 . 2009-03-06 20:03 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-03-07 17:28 . 2009-03-07 17:28 <DIR> d-------- c:\programme\Trend Micro
2009-03-07 17:18 . 2009-03-07 17:18 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-03-07 16:45 . 2009-03-07 16:45 664 --a------ c:\windows\system32\d3d9caps.dat
2009-03-07 16:44 . 2009-03-06 19:09 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-03-07 16:44 . 2009-03-06 19:01 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-03-07 16:44 . 2009-03-06 19:01 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-03-07 16:44 . 2009-03-07 23:20 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-03-07 16:44 . 2009-03-06 19:01 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-03-07 16:44 . 2009-03-06 19:01 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-03-07 16:44 . 2009-03-06 19:01 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-03-07 16:44 . 2009-03-07 17:18 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-03-07 16:08 . 2009-03-07 22:37 <DIR> d----c--- c:\windows\system32\DRVSTORE
2009-03-07 16:05 . 2009-03-07 16:05 <DIR> d-------- c:\programme\Alwil Software
2009-03-07 16:05 . 2003-03-18 21:20 1,060,864 --a------ c:\windows\system32\MFC71.dll
2009-03-07 16:05 . 2003-03-18 20:14 499,712 --a------ c:\windows\system32\MSVCP71.dll
2009-03-07 16:05 . 2003-02-21 04:42 348,160 --a------ c:\windows\system32\MSVCR71.dll
2009-03-07 16:01 . 2009-03-07 22:37 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-03-07 16:00 . 2009-03-07 16:00 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-03-07 15:59 . 2009-03-07 15:59 <DIR> d-------- C:\!KillBox
2009-03-07 00:04 . 2009-03-07 00:04 <DIR> d-------- c:\programme\Teamspeak2_RC2
2009-03-07 00:04 . 2009-03-07 00:05 <DIR> d-------- c:\dokumente und einstellungen\Simon\Anwendungsdaten\teamspeak2
2009-03-07 00:04 . 2009-03-07 00:04 34,064 --a------ c:\windows\system32\lhacm.acm
2009-03-06 20:24 . 2009-03-06 20:24 22 --a------ c:\dokumente und einstellungen\Simon\zipnew.dat
2009-03-06 20:24 . 2009-03-06 20:24 20 --a------ c:\dokumente und einstellungen\Simon\rarnew.dat
2009-03-06 20:23 . 2008-09-30 22:17 <DIR> d-------- c:\dokumente und einstellungen\Simon\Formats
2009-03-06 20:23 . 2008-09-30 22:17 968,704 --a------ c:\dokumente und einstellungen\Simon\WinRAR.exe
2009-03-06 20:23 . 2008-09-30 22:17 323,072 --a------ c:\dokumente und einstellungen\Simon\Rar.exe
2009-03-06 20:23 . 2008-09-16 20:17 204,800 --a------ c:\dokumente und einstellungen\Simon\UnRAR.exe
2009-03-06 20:23 . 2008-09-16 20:18 132,608 --a------ c:\dokumente und einstellungen\Simon\RarExt.dll
2009-03-06 20:23 . 2008-06-20 00:41 62,464 --a------ c:\dokumente und einstellungen\Simon\RarExt64.dll
2009-03-06 20:23 . 2008-06-20 19:13 44,032 --a------ c:\dokumente und einstellungen\Simon\RarExtLoader.exe
2009-03-06 20:21 . 2009-03-07 21:24 <DIR> d-------- c:\programme\Trillian
2009-03-06 20:01 . 2009-03-07 22:25 <DIR> d-------- C:\PUB
2009-03-06 20:01 . 2009-03-07 22:25 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\remoteservice
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente
2009-03-06 20:01 . 2004-08-04 00:58 153,600 --a------ c:\windows\R.COM
2009-03-06 20:01 . 2004-08-04 00:58 140,800 --a------ c:\windows\system32\T.COM
2009-03-06 20:01 . 2009-03-06 20:01 70,020 --a------ c:\windows\winsbak2.reg
2009-03-06 20:01 . 2009-03-06 20:01 9,106 --a------ c:\windows\winsbak.reg
2009-03-06 20:01 . 2009-03-06 19:08 211 --a------ C:\bootini.ins
2009-03-06 20:01 . 2009-03-07 22:25 0 --a------ C:\23990098.$$$
2009-03-06 20:00 . 2008-07-16 17:47 1,540,096 --a------ c:\windows\system32\contfilt.dll
2009-03-06 20:00 . 2008-07-16 16:57 155,648 --a------ c:\windows\system32\mwnsp.dll
2009-03-06 20:00 . 2000-04-03 22:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL
2009-03-06 20:00 . 2005-10-09 18:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL
2009-03-06 20:00 . 2008-07-16 16:09 49,152 --a------ c:\windows\killproc.exe
2009-03-06 20:00 . 2005-04-03 13:08 8,464 --a------ c:\windows\system32\sporder.dll
2009-03-06 20:00 . 2005-04-03 13:08 8,464 --a------ c:\windows\sporder.dll
2009-03-06 20:00 . 1997-09-18 06:12 8,192 --a------ c:\windows\sporder.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-07 22:18 --------- d-----w c:\programme\Steam
2009-03-07 15:07 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-03-06 18:53 --------- d-----w c:\programme\Opera
2009-03-06 18:48 --------- d-----w c:\programme\200MbpsPLC
2009-03-06 18:44 --------- d-----w c:\programme\AGEIA Technologies
2009-03-06 18:35 315,392 ----a-w c:\windows\HideWin.exe
2009-03-06 18:35 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-06 18:35 --------- d-----w c:\programme\Realtek
2009-03-06 18:35 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-03-06 18:35 --------- d-----w c:\programme\Driver
2009-03-06 18:34 --------- d-----w c:\dokumente und einstellungen\Simon\Anwendungsdaten\InstallShield
2009-03-06 18:12 --------- d-----w c:\programme\microsoft frontpage
2009-03-06 18:11 --------- d-----w c:\programme\Online-Dienste
2009-03-06 18:10 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Steam"="c:\programme\steam\steam.exe" [2009-03-06 1410296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"RTHDCPL"="RTHDCPL.EXE" [2007-12-20 c:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2008-09-17 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"enablefirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=

R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [2009-03-06 13696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-1-3-44-100024830-100019149-100011082-8669.com c:\
\Shell\Open\command - RECYCLER\S-1-3-44-100024830-100019149-100011082-8669.com c:\
.
Inhalt des "geplante Tasks" Ordners

2009-03-07 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-07 23:20:39
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-03-07 23:21:11
ComboFix-quarantined-files.txt 2009-03-07 22:21:10

Vor Suchlauf: 10 Verzeichnis(se), 174,819,889,152 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 174,871,216,128 Bytes frei

152

lg simagain

HDplugin Virus,wie beseitigen?

Plagegeister aller Art und deren Bekämpfung: HDplugin Virus,wie beseitigen?

HDplugin Virus,wie beseitigen?

HDplugin Virus,wie beseitigen?

Ähnliche Themen: HDplugin Virus,wie beseitigen?

07.03.2009, 23:00	#1
Angel21	HDplugin Virus,wie beseitigen? mach erst mal Malwarebytes, dann combofix bitte