| |  pc evtl. mit TR/Crypt.XPACK.Gen /koobface infiziert
hi,
also host dateien hab ich keine verändert. die probleme vom wochenende sind soweit behoben (avira startet wieder, weiterleitung von internetseiten tritt auch nicht mehr auf). jedoch hatte ich gestern abend wieder virusmeldungen von avira, nämlich fundmeldung von TR/Crypt.XPACK.Gen . und Malwarebytes hat vorhin beim kurzen systemscan trojan.bho gefunden. deshalb vermute ich, dass da bei mir noch irgendwas tief im kasten schlummert.
hier nochmal dier combofix log: Zitat:
ComboFix 09-05-19.08 - Janis 20.05.2009 20:21.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2558.2037 [GMT 2:00]
ausgeführt von:: d:\downloads\ComboFix.exe
AV: Panda Global Protection 2009 *On-access scanning disabled* (Updated) {8BF935E7-731F-4115-B7A5-789FF5087595}
FW: Panda Personal Firewall 2009 *disabled* {7B090DC0-8905-4BAF-8040-FD98A41C8FB8}
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\appmgrp.exe
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_STARWINDSERVICEMSDTC
-------\Service_StarWindServiceMSDTC
((((((((((((((((((((((( Dateien erstellt von 2009-04-20 bis 2009-05-20 ))))))))))))))))))))))))))))))
.
2009-05-20 17:05 . 2009-05-20 17:05 -------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2009-05-20 17:05 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-20 17:05 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-20 17:05 . 2009-05-20 17:05 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-20 17:05 . 2009-05-20 17:05 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-20 16:54 . 2009-05-20 16:55 -------- d-----w C:\Inetpub
2009-05-20 15:16 . 2009-05-20 15:16 -------- d-----w c:\dokumente und einstellungen\Janis\Lokale Einstellungen\Anwendungsdaten\Panda Security
2009-05-20 15:13 . 2008-04-28 15:35 84024 ----a-w c:\windows\system32\drivers\pavdrv51.sys
2009-05-20 15:13 . 2009-05-20 15:13 253 ----a-w c:\windows\system32\PavCPL.dat
2009-05-20 15:13 . 2009-05-20 17:50 220356 ----a-w c:\windows\system32\drivers\APPFCONT.DAT
2009-05-20 15:13 . 2008-06-18 14:06 46720 ----a-w c:\windows\system32\drivers\wnmflt.sys
2009-05-20 15:13 . 2008-06-18 14:06 52992 ----a-w c:\windows\system32\drivers\dsaflt.sys
2009-05-20 15:13 . 2008-06-18 14:06 193792 ----a-w c:\windows\system32\drivers\idsflt.sys
2009-05-20 14:12 . 2008-06-19 15:24 28544 ----a-w c:\windows\system32\drivers\pavboot.sys
2009-05-20 14:12 . 2008-03-04 13:59 41144 ----a-w c:\windows\system32\drivers\ShlDrv51.sys
2009-05-20 14:12 . 2008-02-07 10:03 179640 ----a-w c:\windows\system32\drivers\PavProc.sys
2009-05-20 14:12 . 2009-05-20 14:12 -------- d-----w c:\programme\Gemeinsame Dateien\Panda Security
2009-05-20 14:04 . 2009-05-20 14:04 -------- d-----w c:\programme\Trend Micro
2009-05-20 13:23 . 2009-05-20 13:23 2 ---h--w c:\windows\sto452730.dat
2009-05-20 13:23 . 2009-05-20 17:47 -------- d-----w c:\windows\system32\547372
2009-05-19 20:59 . 2009-05-19 20:59 2 ---h--w c:\windows\sto453250.dat
2009-05-19 20:58 . 2009-05-19 20:58 32 --s-a-w c:\windows\system32\146168446.dat
2009-05-14 15:31 . 2009-05-14 15:53 -------- d-----w c:\programme\NGOATIOD173(2)
2009-05-14 15:24 . 2009-05-14 15:24 0 ----a-w c:\windows\ativpsrm.bin
2009-05-14 14:36 . 2009-05-14 14:36 -------- d-----w c:\dokumente und einstellungen\Janis\Anwendungsdaten\The Creative Assembly
2009-05-12 10:52 . 2009-05-12 10:52 -------- d-----w c:\programme\DAEMON Tools Toolbar
2009-04-27 21:35 . 2009-04-27 21:35 58 ----a-w c:\windows\system32\DonationCoder_ScreenshotCaptor_InstallInfo.dat
2009-04-27 21:35 . 2009-04-27 21:35 -------- d-----w c:\dokumente und einstellungen\Janis\Anwendungsdaten\DonationCoder
2009-04-27 21:35 . 2009-04-27 21:35 58 ----a-w c:\dokumente und einstellungen\Janis\Lokale Einstellungen\Anwendungsdaten\DonationCoder_ScreenshotCaptor_InstallInfo.dat
2009-04-27 21:35 . 2009-04-27 21:36 -------- d-----w c:\programme\ScreenshotCaptor
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-20 18:25 . 2009-05-20 15:13 1132 ----a-w c:\windows\system32\drivers\APPFLTR.CFG.bck
2009-05-20 18:25 . 2009-05-20 15:13 1132 ----a-w c:\windows\system32\drivers\APPFLTR.CFG
2009-05-20 17:50 . 2009-05-20 15:13 220356 ----a-w c:\windows\system32\drivers\APPFCONT.DAT.bck
2009-05-20 15:19 . 2004-08-04 12:00 76898 ----a-w c:\windows\system32\perfc007.dat
2009-05-20 15:19 . 2004-08-04 12:00 421272 ----a-w c:\windows\system32\perfh007.dat
2009-05-20 15:12 . 2009-05-20 15:12 -------- d-----w c:\programme\Panda Security
2009-05-20 15:12 . 2006-11-24 23:36 -------- d--h--w c:\programme\InstallShield Installation Information
2009-05-12 22:36 . 2009-03-02 17:28 -------- d-----w c:\programme\DAEMON Tools Lite
2009-05-11 19:21 . 2006-11-24 18:01 721904 ----a-w c:\windows\system32\drivers\sptd.sys
2009-04-29 22:06 . 2008-07-01 20:00 -------- d-----w c:\programme\ICQ6
2009-04-19 21:39 . 2009-04-17 09:09 -------- d-----w c:\programme\Eraser
2009-04-16 22:01 . 2009-04-16 22:01 215872 ----a-w c:\windows\system32\drivers\truecrypt.sys
2009-04-16 22:01 . 2009-04-16 22:01 -------- d-----w c:\programme\TrueCrypt
2009-03-17 15:07 . 2009-05-20 15:12 87296 ----a-w c:\windows\system32\PavLspHook.dll
2009-03-16 21:07 . 2009-03-16 21:07 56 ---ha-w c:\windows\system32\ezsidmv.dat
2009-03-06 14:19 . 2004-08-04 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-02-25 20:58 . 2007-05-18 01:30 887724 ----a-w c:\windows\system32\ativva6x.dat
2009-02-20 08:09 . 2004-08-04 12:00 671744 ----a-w c:\windows\system32\wininet.dll
2009-02-20 08:09 . 2004-08-04 12:00 81920 ----a-w c:\windows\system32\ieencode.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="c:\programme\Eraser\Eraser.exe" [2007-12-22 916240]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2007-12-19 172280]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2006-05-01 843776]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"APVXDWIN"="c:\programme\Panda Security\Panda Global Protection 2009\APVXDWIN.EXE" [2008-12-03 869632]
"SCANINICIO"="c:\programme\Panda Security\Panda Global Protection 2009\Inicio.exe" [2008-07-07 50432]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
WG111v2 Smart Wizard Wireless Setting.lnk - c:\programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe [2006-11-25 745472]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
2008-03-18 14:58 58672 ----a-w c:\windows\system32\avldr.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PskSvcRetail]
@="Service"
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\itch bat bib nurb
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\way glue
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CiSvc"=3 (0x3)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\dxdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\DOWNLOADS\\utorrent.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"d:\\Programme\\505games\\1C\\Men of War\\mow_mp.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Hamachi\\hamachi.exe"=
"c:\\Programme\\Paradox Interactive\\Hearts of Iron 2\\HoI2.exe"=
R0 pavboot;Panda boot driver;c:\windows\system32\drivers\pavboot.sys [20.05.2009 16:12 28544]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [05.07.2006 14:46 63352]
R1 APPFLT;App Filter Plugin;c:\windows\system32\drivers\APPFLT.SYS [20.05.2009 17:12 73728]
R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [05.12.2006 19:20 11264]
R1 DSAFLT;DSA Filter Plugin;c:\windows\system32\drivers\dsaflt.sys [20.05.2009 17:13 52992]
R1 FNETMON;NetMon Filter Plugin;c:\windows\system32\drivers\fnetmon.sys [20.05.2009 17:12 22072]
R1 IDSFLT;Ids Filter Plugin;c:\windows\system32\drivers\idsflt.sys [20.05.2009 17:13 193792]
R1 NETFLTDI;Panda Net Driver [TDI Layer];c:\windows\system32\drivers\NETFLTDI.SYS [20.05.2009 17:12 158848]
R1 ShldDrv;Panda File Shield Driver;c:\windows\system32\drivers\ShlDrv51.sys [20.05.2009 16:12 41144]
R1 WNMFLT;Wifi Monitor Filter Plugin;c:\windows\system32\drivers\wnmflt.sys [20.05.2009 17:13 46720]
R2 Gwmsrv;Panda Goodware Cache Manager;c:\windows\system32\svchost -k Panda --> c:\windows\system32\svchost -k Panda [?]
R2 PavProc;Panda Process Protection Driver;c:\windows\system32\drivers\PavProc.sys [20.05.2009 16:12 179640]
R2 PskSvcRetail;Panda PSK service;c:\programme\Panda Security\Panda Global Protection 2009\psksvc.exe [20.05.2009 17:12 28928]
R3 AvFlt;Antivirus Filter Driver;c:\windows\system32\drivers\av5flt.sys --> c:\windows\system32\drivers\av5flt.sys [?]
R3 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [25.11.2006 02:19 66048]
R3 NETIMFLT01060034;PANDA NDIS IM Filter Miniport v1.6.0.34;c:\windows\system32\drivers\neti1634.sys [20.05.2009 17:12 197888]
R3 PavSRK.sys;PavSRK.sys;\??\c:\windows\system32\PavSRK.sys --> c:\windows\system32\PavSRK.sys [?]
R3 PavTPK.sys;PavTPK.sys;\??\c:\windows\system32\PavTPK.sys --> c:\windows\system32\PavTPK.sys [?]
R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\drivers\wg111v2.sys [25.11.2006 02:19 167808]
R3 SjyPkt;SjyPkt;c:\windows\system32\drivers\SjyPkt.sys [25.11.2006 02:19 13532]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
panda REG_MULTI_SZ Gwmsrv
.
Inhalt des "geplante Tasks" Ordners
2009-05-20 c:\windows\Tasks\Grundlegende Bereinigung.job
- c:\programme\Panda Security\Panda Global Protection 2009\PlaTasks.exe [2009-05-20 15:55]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.yodl.de/
uInternet Settings,ProxyServer = http=localhost:7171
uInternet Settings,ProxyOverride = *.local;<local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Janis\Anwendungsdaten\Mozilla\Firefox\Profiles\38olt8xk.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - chrome://fastdial/content/fastdial.html
FF - prefs.js: keyword.URL - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-20 20:25
Windows 5.1.2600 Service Pack 3 NTFS
detected NTDLL code modification:
ZwEnumerateKey, ZwClose, ZwEnumerateValueKey, ZwQueryValueKey, ZwOpenFile
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-789336058-1177238915-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:0c,7d,44,9b,32,1e,d8,1c,98,84,4a,7b,53,9e,9b,09,a4,4c,e0,cb,c0,32,e5,
69,c5,dc,43,64,7c,fd,3d,78,77,64,b8,d0,fe,e8,f1,61,c6,ce,21,82,30,2e,b9,57,\
"??"=hex:4f,8d,c0,52,50,a7,5c,fb,19,41,f1,5d,d2,b5,f9,55
[HKEY_USERS\S-1-5-21-789336058-1177238915-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:73,d1,26,e4,a7,48,65,17,26,5c,ef,69,67,3b,6e,fb,72,44,b2,3f,c3,
40,3f,08,11,76,a9,b8,79,e2,a6,8f,28,73,ab,d0,b3,2e,24,20,c8,66,de,a0,34,54,\
"rkeysecu"=hex:ba,97,02,ae,12,22,ec,8b,e5,a1,c1,5a,d4,09,2e,60
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ�•€|ù•6~�*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1244)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\avldr.dll
- - - - - - - > 'explorer.exe'(856)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Panda Security\Panda Global Protection 2009\TPSrv.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Panda Security\Panda Global Protection 2009\PsCtrlS.exe
c:\programme\Panda Security\Panda Global Protection 2009\PavFnSvr.exe
c:\programme\Gemeinsame Dateien\Panda Security\PavShld\PavPrSrv.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\Panda Security\Panda Global Protection 2009\PsImSvc.exe
c:\programme\Panda Security\Panda Global Protection 2009\PAVSRV51.EXE
c:\programme\Panda Security\Panda Global Protection 2009\AVENGINE.EXE
c:\programme\Panda Security\Panda Global Protection 2009\FIREWALL\PSHost.exe
c:\programme\Panda Security\Panda Global Protection 2009\PavBckPT.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-20 20:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-20 18:28
Vor Suchlauf: 11 Verzeichnis(se), 13.327.028.224 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 13.345.247.232 Bytes frei
Current=2 Default=2 Failed=0 LastKnownGood=5 Sets=1,2,3,4,5
213 --- E O F --- 2009-05-13 01:01
|
|
25.05.2009, 01:56
und 
Linear-Darstellung
