Infiziert?

john.doe · 16.07.2009, 00:11

Stop. Malwarebytes noch nicht einsetzen. Wir müssen erstmal Scripten. Morgen geht es weiter.

ciao, andreas

der_gizmo · 16.07.2009, 00:14

Ok, Scan ist abgebrochen. Gute nacht!

john.doe · 16.07.2009, 17:55

1.) Deinstalliere:

AdAware (Schrott)
Frostwire (Virenschleuder)
uTorrent (Virenschleuder)
Vuze (Virenschleuder)

2.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

RegNull::
[HKEY_USERS\S-1-5-21-602162358-861567501-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4253CC67-8266-6CC7-E300-0AFF8DB0ABBD}*]

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"=-
"Adobe Reader Speed Launcher"=-
"SunJavaUpdateSched"=-
"Adobe Acrobat Speed Launcher"=-
"QuickTime Task"=-
"nwiz"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\FrostWire\\FrostWire.exe"=-
"c:\\Programme\\uTorrent\\uTorrent.exe"=-
"c:\\Programme\\Vuze\\Azureus.exe"=-

Folder::
C:\rsit
C:\avenger

File::
C:\cleanup.bat
C:\zip.exe
c:\windows\system32\drivers\geyekrvtjiqjml.sys

DirLook::
C:\WINDOWS\system32\driver

Dirlook::
C:\WINDOWS\system32

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

der_gizmo · 16.07.2009, 19:24

Uff, 955213 Zeichen...
Gibt es bestimmte Bereiche, die ich außen vor lassen kann?
Knapp ne Million Zeichen, d.h. ich müsste 40 Posts erstellen, um das gesamte Log zu posten.

Oder soll ich den Report eventuell irgendwo hosten und dir dann den Link per PN schicken?

john.doe · 16.07.2009, 19:55

Ja. Lade es hoch, den Link kannst du diesesmal posten. Hier lesen ja noch andere mit. Da du etwas ganz Neues hast, bist du ein interessanter Fall.

Du hast ja schon gemerkt, dass wir etwas am Schwimmen sind, weil wir noch nicht wissen, mit welchen Programmen wir die aufspüren und kleinkriegen.

Erstelle bitte ein neues Gmer-Log, das sollte jetzt wieder vernünftig funktionieren. Da ist ein Fund, der auf mehr hindeutet.

ciao, andreas

der_gizmo · 16.07.2009, 20:02

http://www.materialordner.de/ui9IOUV7VYEGTYjwftLVb41S6rAIsR3.html

ComboFix ist beim ersten Start nach knapp 5 Minuten abgestürzt, im zweiten Anlauf hat es dann geklappt. Ich hoffe, dieser Umstand beeinflusste das Log nicht in irgendeiner Weise.

john.doe · 16.07.2009, 21:14

Zitat:

Ich hoffe, dieser Umstand beeinflusste das Log nicht in irgendeiner Weise.

Nein, Log ist OK.

Sobald GMER fertig ist, füttere Combofix mit diesem Script:

Code:

ATTFilter

KILLALL::

Rootkit::
c:\windows\system32\drivers\geyekrvtjiqjml.sys

File::
c:\windows\system32\drivers\geyekrvtjiqjml.sys
c:\windows\system32\ESQULzcounter

ciao, andreas

der_gizmo · 16.07.2009, 21:14

Ich bin gerade von einem Laptop aus online.
Der GMER-Scan dauert nun bereits eine Stunde. Ich muss nun aber außer Haus, ich lasse das Programm weiterlaufen und liefer morgen das Ergebnis nach.

Gruß

john.doe · 16.07.2009, 21:22

Alles klar.

Gute Nacht, andreas

der_gizmo · 17.07.2009, 05:52

Code:

ATTFilter

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-17 06:50:30
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT      BAF485C6                                                                                                 ZwCreateKey
SSDT      BAF485BC                                                                                                 ZwCreateThread
SSDT      BAF485CB                                                                                                 ZwDeleteKey
SSDT      BAF485D5                                                                                                 ZwDeleteValueKey
SSDT      spat.sys                                                                                                 ZwEnumerateKey [0xBA6C6CA2]
SSDT      spat.sys                                                                                                 ZwEnumerateValueKey [0xBA6C7030]
SSDT      BAF485DA                                                                                                 ZwLoadKey
SSDT      spat.sys                                                                                                 ZwOpenKey [0xBA6A80C0]
SSDT      BAF485A8                                                                                                 ZwOpenProcess
SSDT      BAF485AD                                                                                                 ZwOpenThread
SSDT      spat.sys                                                                                                 ZwQueryKey [0xBA6C7108]
SSDT      spat.sys                                                                                                 ZwQueryValueKey [0xBA6C6F88]
SSDT      BAF485E4                                                                                                 ZwReplaceKey
SSDT      BAF485DF                                                                                                 ZwRestoreKey
SSDT      BAF485D0                                                                                                 ZwSetValueKey
SSDT      BAF485B7                                                                                                 ZwTerminateProcess

INT 0x62  ?                                                                                                        8A613BF8
INT 0x63  ?                                                                                                        8A613BF8
INT 0x63  ?                                                                                                        8A613BF8
INT 0x63  ?                                                                                                        8A347BF8
INT 0x73  ?                                                                                                        8A5A5BF8
INT 0x73  ?                                                                                                        8A5A5BF8
INT 0x83  ?                                                                                                        8A347BF8
INT 0xA4  ?                                                                                                        8A347BF8
INT 0xB4  ?                                                                                                        8A347BF8

Code      \??\C:\DOKUME~1\kwam\LOKALE~1\Temp\catchme.sys                                                           pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

?         spat.sys                                                                                                 Das System kann die angegebene Datei nicht finden. !
?         Combo-Fix.sys                                                                                            Das System kann die angegebene Datei nicht finden. !
.text     USBPORT.SYS!DllUnload                                                                                    B9B918AC 5 Bytes  JMP 8A3471D8 
.text     a0z37rxp.SYS                                                                                             B99FB386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text     a0z37rxp.SYS                                                                                             B99FB3AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text     a0z37rxp.SYS                                                                                             B99FB3C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
.text     a0z37rxp.SYS                                                                                             B99FB3C9 1 Byte  [2E]
.text     a0z37rxp.SYS                                                                                             B99FB3C9 11 Bytes  [2E, 00, 00, 00, 5A, 02, 00, ...]
.text     ...                                                                                                      
?         C:\DOKUME~1\kwam\LOKALE~1\Temp\catchme.sys                                                               Das System kann die angegebene Datei nicht finden. !
?         C:\WINDOWS\system32\Drivers\PROCEXP90.SYS                                                                Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text     C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3940] USER32.dll!DefWindowProcA + 11A    7E37C298 7 Bytes  JMP 10034820 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text     C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3940] USER32.dll!SetWindowRgn + 2BD      7E37E7E5 7 Bytes  JMP 10034790 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text     C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[3940] USER32.dll!SetClipboardData + 19D  7E38113B 7 Bytes  JMP 10034800 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT       atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                       [BA6A9040] spat.sys
IAT       atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                               [BA6A913C] spat.sys
IAT       atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                      [BA6A90BE] spat.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                              [BA6A97FC] spat.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                      [BA6A96D2] spat.sys
IAT       \SystemRoot\System32\Drivers\a0z37rxp.SYS[HAL.dll!KfAcquireSpinLock]                                     C0840CEC
IAT       \SystemRoot\System32\Drivers\a0z37rxp.SYS[HAL.dll!READ_PORT_UCHAR]                                       053C0D74
IAT       \SystemRoot\System32\Drivers\a0z37rxp.SYS[HAL.dll!KeGetCurrentIrql]                                      57B80974
IAT       \SystemRoot\System32\Drivers\a0z37rxp.SYS[HAL.dll!KfRaiseIrql]                                           8B000000
IAT       \SystemRoot\System32\Drivers\a0z37rxp.SYS[HAL.dll!KfLowerIrql]                                           56C35DE5
IAT       \SystemRoot\System32\Drivers\a0z37rxp.SYS[HAL.dll!HalGetInterruptVector]                                 8D08758B
IAT       \SystemRoot\System32\Drivers\a0z37rxp.SYS[HAL.dll!HalTranslateBusAddress]                                8D51FC4D
IAT       \SystemRoot\System32\Drivers\a0z37rxp.SYS[HAL.dll!KeStallExecutionProcessor]                             8D52FD55
IAT       \SystemRoot\System32\Drivers\a0z37rxp.SYS[HAL.dll!KfReleaseSpinLock]                                     8D51FE4D
IAT       \SystemRoot\System32\Drivers\a0z37rxp.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                               8D52FF55
IAT       \SystemRoot\System32\Drivers\a0z37rxp.SYS[HAL.dll!READ_PORT_USHORT]                                      8D51F84D
IAT       \SystemRoot\System32\Drivers\a0z37rxp.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                              5052F455
IAT       \SystemRoot\System32\Drivers\a0z37rxp.SYS[HAL.dll!WRITE_PORT_UCHAR]                                      EACAE856
IAT       \SystemRoot\System32\Drivers\a0z37rxp.SYS[WMILIB.SYS!WmiSystemControl]                                   0FC08520
IAT       \SystemRoot\System32\Drivers\a0z37rxp.SYS[WMILIB.SYS!WmiCompleteRequest]                                 0001B185

---- Devices - GMER 1.0.15 ----

Device    \FileSystem\Ntfs \Ntfs                                                                                   8A5A11F8
Device    \Driver\NetBT \Device\NetBT_Tcpip_{2833BB1A-0A93-49A6-A6B6-03EA4ACA14FF}                                 881631F8
Device    \Driver\usbuhci \Device\USBPDO-0                                                                         8A3461F8
Device    \Driver\usbuhci \Device\USBPDO-1                                                                         8A3461F8
Device    \Driver\usbuhci \Device\USBPDO-2                                                                         8A3461F8
Device    \Driver\usbuhci \Device\USBPDO-3                                                                         8A3461F8
Device    \Driver\usbehci \Device\USBPDO-4                                                                         8A3191F8
Device    \Driver\sptd \Device\504281998                                                                           spat.sys
Device    \Driver\Ftdisk \Device\HarddiskVolume1                                                                   8A5A31F8
Device    \Driver\Ftdisk \Device\HarddiskVolume2                                                                   8A5A31F8
Device    \Driver\Cdrom \Device\CdRom0                                                                             8A2B3500
Device    \Driver\Cdrom \Device\CdRom1                                                                             8A2B3500
Device    \Driver\Cdrom \Device\CdRom2                                                                             8A2B3500
Device    \Driver\usbstor \Device\00000081                                                                         89D38500
Device    \Driver\usbstor \Device\00000082                                                                         89D38500
Device    \Driver\usbstor \Device\00000083                                                                         89D38500
Device    \Driver\NetBT \Device\NetBt_Wins_Export                                                                  881631F8
Device    \Driver\usbstor \Device\00000084                                                                         89D38500
Device    \Driver\NetBT \Device\NetbiosSmb                                                                         881631F8
Device    \Driver\PCI_PNP3248 \Device\0000004c                                                                     spat.sys
Device    \Driver\usbuhci \Device\USBFDO-0                                                                         8A3461F8
Device    \Driver\usbuhci \Device\USBFDO-1                                                                         8A3461F8
Device    \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                        8813C1F8
Device    \Driver\usbuhci \Device\USBFDO-2                                                                         8A3461F8
Device    \FileSystem\MRxSmb \Device\LanmanRedirector                                                              8813C1F8
Device    \Driver\usbstor \Device\0000007c                                                                         89D38500
Device    \Driver\usbuhci \Device\USBFDO-3                                                                         8A3461F8
Device    \Driver\usbehci \Device\USBFDO-4                                                                         8A3191F8
Device    \Driver\Ftdisk \Device\FtControl                                                                         8A5A31F8
Device    \Driver\a0z37rxp \Device\Scsi\a0z37rxp1Port5Path0Target0Lun0                                             8A21E1F8
Device    \Driver\a0z37rxp \Device\Scsi\a0z37rxp1                                                                  8A21E1F8
Device    \Driver\JRAID \Device\Scsi\JRAID1                                                                        8A5A21F8
Device    \FileSystem\Cdfs \Cdfs                                                                                   89D26500

---- Registry - GMER 1.0.15 ----

Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                       771343423
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                       285507792
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                       1
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                         
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                      C:\Programme\DAEMON Tools Lite\
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                      0
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                   0x72 0x96 0xB4 0xD9 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0             0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh          0x87 0x4C 0xCA 0xDF ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40          
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh    0xD6 0x9B 0x68 0x63 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                             
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                          C:\Programme\DAEMON Tools Lite\
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                          0
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                       0x72 0x96 0xB4 0xD9 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                    
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                 0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh              0x87 0x4C 0xCA 0xDF ...
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40              
Reg       HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh        0xD6 0x9B 0x68 0x63 ...
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                             
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                          C:\Programme\DAEMON Tools Lite\
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                          0
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                       0x72 0x96 0xB4 0xD9 ...
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                    
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                 0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh              0x87 0x4C 0xCA 0xDF ...
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40              
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh        0xD6 0x9B 0x68 0x63 ...

---- EOF - GMER 1.0.15 ----

Combofix ist heute mittag wieder an der Reihe

der_gizmo · 17.07.2009, 12:50

Code:

ATTFilter

ComboFix 09-07-14.08 - kwam 17.07.2009  9:36.4.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2046.1466 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\kwam\Desktop\combo-fix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\kwam\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\system32\drivers\geyekrvtjiqjml.sys"
"c:\windows\system32\ESQULzcounter"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ESQULzcounter

.
(((((((((((((((((((((((   Dateien erstellt von 2009-06-17 bis 2009-07-17  ))))))))))))))))))))))))))))))
.

2009-07-15 23:03 . 2009-07-15 23:03	--------	d-----w-	c:\dokumente und einstellungen\kwam\Anwendungsdaten\Malwarebytes
2009-07-15 20:13 . 2009-07-15 20:13	--------	d-----w-	c:\programme\CCleaner
2009-07-15 13:15 . 2009-07-13 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-15 13:15 . 2009-07-15 13:15	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-07-15 13:15 . 2009-07-15 13:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-15 13:15 . 2009-07-13 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-07-14 20:35 . 2009-07-15 17:41	--------	d-----w-	c:\programme\Trend Micro
2009-07-14 18:38 . 2009-07-14 18:38	--------	d-----w-	c:\dokumente und einstellungen\kwam\Anwendungsdaten\MAGIX
2009-07-14 18:23 . 2001-05-11 11:18	420240	----a-w-	c:\windows\system32\mpg4c32.dll
2009-07-14 18:23 . 2001-05-16 15:54	309616	----a-w-	c:\windows\system32\wmv8dmod.dll
2009-07-14 18:21 . 2007-04-27 08:43	120200	----a-w-	c:\windows\system32\DLLDEV32i.dll
2009-07-14 18:21 . 2009-07-14 18:22	--------	d-----w-	c:\windows\system32\MAGIX
2009-07-14 18:21 . 2008-04-15 14:14	700416	----a-w-	c:\windows\system32\mgxoschk.dll
2009-07-14 17:27 . 2009-07-14 17:27	--------	d-----w-	c:\programme\Audacity
2009-07-09 21:09 . 2009-07-09 21:09	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2009-07-07 16:30 . 2009-07-08 14:16	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-07-07 16:30 . 2009-07-08 14:16	55640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-07-07 16:30 . 2009-02-13 09:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-07-07 16:30 . 2009-02-13 09:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-07-07 16:30 . 2009-07-07 16:30	--------	d-----w-	c:\programme\Avira
2009-07-07 16:30 . 2009-07-07 16:30	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-07-06 20:52 . 2009-07-06 20:52	--------	d-----w-	c:\dokumente und einstellungen\kwam\Library
2009-07-06 20:52 . 2009-07-06 20:52	--------	d-----w-	c:\dokumente und einstellungen\kwam\Anwendungsdaten\com.adobe.ExMan
2009-07-02 19:11 . 2009-07-02 19:11	--------	d-----w-	c:\dokumente und einstellungen\kwam\Anwendungsdaten\Apple Computer
2009-06-22 13:26 . 2009-06-22 13:26	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software
2009-06-22 13:15 . 2009-06-22 13:15	--------	d-----w-	c:\dokumente und einstellungen\kwam\Lokale Einstellungen\Anwendungsdaten\Sony
2009-06-22 13:12 . 2009-06-22 13:12	--------	d-----w-	c:\programme\Gemeinsame Dateien\Sony Shared
2009-06-22 13:11 . 2009-06-22 13:11	--------	d-----w-	c:\programme\Sony
2009-06-22 13:09 . 2009-06-22 13:09	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2009-06-22 13:09 . 2009-06-22 13:09	--------	d-----w-	c:\programme\QuickTime
2009-06-22 13:09 . 2009-06-22 13:09	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-06-22 13:08 . 2009-06-22 13:08	--------	d-----w-	c:\dokumente und einstellungen\kwam\Lokale Einstellungen\Anwendungsdaten\Apple
2009-06-22 13:08 . 2009-06-22 13:08	--------	d-----w-	c:\programme\Apple Software Update
2009-06-22 13:08 . 2009-06-22 13:08	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-06-22 13:08 . 2009-06-22 13:08	--------	d-----w-	c:\dokumente und einstellungen\kwam\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2009-06-22 13:08 . 2009-06-22 13:28	--------	d-----w-	c:\windows\system32\drivers\UMDF
2009-06-22 13:05 . 2009-06-22 13:05	--------	d-----w-	c:\dokumente und einstellungen\kwam\Anwendungsdaten\Sony

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-16 18:25 . 2009-03-03 19:47	--------	d-----w-	c:\dokumente und einstellungen\kwam\Anwendungsdaten\Winamp
2009-07-16 17:38 . 2008-11-22 01:09	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-07-16 13:52 . 2008-10-24 20:20	--------	d-----w-	c:\dokumente und einstellungen\kwam\Anwendungsdaten\FrostWire
2009-07-15 13:40 . 2008-10-23 15:51	42360	----a-w-	c:\dokumente und einstellungen\kwam\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-14 20:06 . 2008-10-23 15:52	--------	d-----w-	c:\programme\Warcraft III
2009-07-14 18:22 . 2009-07-14 18:21	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX
2009-07-14 18:21 . 2008-12-23 22:40	--------	d-----w-	c:\dokumente und einstellungen\kwam\Anwendungsdaten\Azureus
2009-07-10 18:10 . 2008-10-25 00:11	--------	d-----w-	c:\programme\Microsoft Games
2009-07-10 14:06 . 2008-12-23 16:31	--------	d-----w-	c:\dokumente und einstellungen\kwam\Anwendungsdaten\Skype
2009-07-10 14:01 . 2008-12-23 16:32	--------	d-----w-	c:\dokumente und einstellungen\kwam\Anwendungsdaten\skypePM
2009-07-02 19:16 . 2009-03-08 20:51	--------	d-----w-	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-07-02 19:16 . 2009-03-08 20:51	--------	d-----w-	c:\programme\DVDVideoSoft
2009-06-22 13:22 . 2009-06-22 13:22	148736	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\hpe146.dll
2009-06-22 13:22 . 2009-06-22 13:22	148736	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\hpe146.dll
2009-06-22 13:22 . 2008-10-24 20:01	--------	d-----w-	c:\programme\Sony Ericsson
2009-06-22 13:22 . 2008-10-22 17:32	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-06-16 14:36 . 2006-02-28 12:00	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2006-02-28 12:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-06-11 17:33 . 2009-06-11 17:33	--------	d-sh--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\System Restore
2009-06-11 01:41 . 2009-06-11 01:41	--------	d-----w-	c:\dokumente und einstellungen\kwam\Anwendungsdaten\Canneverbe_Limited
2009-06-11 01:41 . 2009-06-11 01:41	--------	d-----w-	c:\programme\CDBurnerXP
2009-06-05 23:05 . 2008-10-31 16:23	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2009-06-05 18:05 . 2009-06-05 18:05	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-06-05 17:41 . 2009-06-05 17:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ALM
2009-06-05 17:15 . 2009-06-05 17:15	--------	d-----w-	c:\programme\Adobe Media Player
2009-06-05 17:13 . 2009-06-05 17:13	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe AIR
2009-06-05 17:07 . 2009-06-05 17:07	--------	d-----w-	c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-06-05 16:56 . 2006-02-28 12:00	96862	----a-w-	c:\windows\system32\perfc007.dat
2009-06-05 16:56 . 2006-02-28 12:00	505988	----a-w-	c:\windows\system32\perfh007.dat
2009-06-05 16:56 . 2009-06-05 16:56	64312	----a-w-	c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-06-05 16:55 . 2009-06-05 16:55	--------	d-----w-	c:\programme\MSBuild
2009-06-04 22:58 . 2009-06-04 22:58	--------	d-----w-	c:\programme\Reference Assemblies
2009-06-03 19:09 . 2006-02-28 12:00	1296896	----a-w-	c:\windows\system32\quartz.dll
2009-05-07 15:32 . 2006-02-28 12:00	348160	----a-w-	c:\windows\system32\localspl.dll
2009-05-06 09:29 . 2009-05-06 09:29	17744	----a-w-	c:\windows\system32\aspnet_counters.dll
2009-05-06 07:08 . 2009-05-06 07:08	70456	----a-w-	c:\windows\system32\dxva2.dll
2009-05-06 07:08 . 2009-05-06 07:08	489800	----a-w-	c:\windows\system32\evr.dll
2009-05-06 07:08 . 2009-05-06 07:08	13120	----a-w-	c:\windows\system32\mscorier.dll
2009-05-06 07:08 . 2009-05-06 07:08	103304	----a-w-	c:\windows\system32\PresentationCFFRasterizerNative_v0400.dll
2009-05-06 06:13 . 2009-05-06 06:13	76648	----a-w-	c:\windows\system32\PresentationHostProxy.dll
2009-05-06 06:13 . 2009-05-06 06:13	404320	----a-w-	c:\windows\system32\PresentationHost.exe
2009-05-06 06:13 . 2009-05-06 06:13	291152	----a-w-	c:\windows\system32\mscoree.dll
2009-05-06 06:13 . 2009-05-06 06:13	158048	----a-w-	c:\windows\system32\UIAutomationCore.dll
2009-05-06 06:13 . 2009-05-06 06:13	14160	----a-w-	c:\windows\system32\netfxperf.dll
2009-05-06 06:13 . 2009-05-06 06:13	1083720	----a-w-	c:\windows\system32\dfshim.dll
2009-04-29 04:33 . 2006-02-28 12:00	672256	----a-w-	c:\windows\system32\wininet.dll
2009-04-29 04:33 . 2006-02-28 12:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2009-04-19 19:46 . 2006-02-28 12:00	1847296	----a-w-	c:\windows\system32\win32k.sys
2009-06-12 17:33 . 2008-10-24 17:38	134648	----a-w-	c:\programme\mozilla firefox\components\brwsrcmp.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-07-15_22.59.31   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-07-17 07:58 . 2009-07-17 07:58	16384              c:\windows\temp\Perflib_Perfdata_730.dat
+ 2009-06-23 22:05 . 2008-07-08 13:00	18808              c:\windows\system32\spmsg.dll
+ 2009-06-16 14:36 . 2009-06-16 14:36	81920              c:\windows\system32\dllcache\fontsub.dll
+ 2009-06-16 14:36 . 2009-06-16 14:36	119808              c:\windows\system32\dllcache\t2embed.dll
+ 2008-05-07 05:10 . 2009-06-03 19:09	1296896              c:\windows\system32\dllcache\quartz.dll
+ 2008-10-24 17:32 . 2009-07-07 15:10	24539592              c:\windows\system32\MRT.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Creative Detector"="c:\programme\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 102400]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2009-02-16 405504]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-05-13 7606272]
"D-Link AirPlus G"="c:\programme\D-Link\AirPlus G\AirGCFG.exe" [2005-07-22 1519616]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-12-16 49152]
"JMB36X Configure"="c:\windows\system32\JMRaidTool.exe" [2006-04-20 385024]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-03-27 593920]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-02-25 37888]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2008-06-11 640376]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2006-05-13 86016]
"CTHelper"="CTHELPER.EXE" - c:\windows\CTHELPER.EXE [2005-08-07 16384]
"CTxfiHlp"="CTXFIHLP.EXE" - c:\windows\system32\CTXFIHLP.EXE [2005-08-07 18944]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-05-04 16206848]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-04-24 1448960]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Dokumente und Einstellungen\\kwam\\Desktop\\dud\\Age Of Empires 2 & The Conquerors Expansion -\\age2_x1.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS4\\Server\\bin\\VersionCueCS4.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4
"3703:TCP"= 3703:TCP:Adobe Version Cue CS4 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS4 Server
"51000:TCP"= 51000:TCP:Adobe Version Cue CS4 Server
"51001:TCP"= 51001:TCP:Adobe Version Cue CS4 Server

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.07.2009 18:30 108289]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [08.12.2008 20:23 222456]
S3 Adobe Version Cue CS4;Adobe Version Cue CS4;c:\programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe [15.08.2008 05:46 284016]
S3 clr_optimization_v4.0.20506_32;.NET Runtime Optimization Service v4.0.20506_X86;c:\windows\Microsoft.NET\Framework\v4.0.20506\mscorsvw.exe [06.05.2009 09:08 104272]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe --> c:\programme\MAGIX\Common\Database\bin\fbserver.exe [?]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [22.06.2009 15:22 86696]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [22.06.2009 15:22 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [22.06.2009 15:22 114472]
S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [22.06.2009 15:22 108328]
S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [22.06.2009 15:22 26024]
S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [22.06.2009 15:22 104616]
S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [22.06.2009 15:22 109736]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ask.com/?o=101677&l=dis
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
FF - ProfilePath - c:\dokumente und einstellungen\kwam\Anwendungsdaten\Mozilla\Firefox\Profiles\rf06ey9t.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
FF - prefs.js: browser.startup.homepage - www.google.de/ig
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - component: c:\programme\DAEMON Tools Toolbar\FirefoxDTT\components\DTToolbarFF.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPAskSBr.dll
FF - plugin: c:\windows\Microsoft.NET\Framework\v4.0.20506\WPF\NPWPF.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v4.0.20506\WPF\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-17 09:58
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(720)
c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'explorer.exe'(3972)
c:\windows\system32\ctagent.dll
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\CTSVCCDA.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\nvsvc32.exe
c:\programme\CardReader2.0\OTiReader.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\CTXFISPI.EXE
c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
c:\programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-17 10:11 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-07-17 08:11
ComboFix2.txt  2009-07-16 18:11
ComboFix3.txt  2009-07-15 23:01

Vor Suchlauf: 6 Verzeichnis(se), 134.369.574.912 Bytes frei
Nach Suchlauf: 6 Verzeichnis(se), 134.354.055.168 Bytes frei

230	--- E O F ---	2009-07-15 23:34

john.doe · 17.07.2009, 16:10

Geschafft, Rootkits sind endgültig tot.

Kennst du den Verursacher für die Infektion? Falls ja, dann schicke mir bitte einen Downloadlink als PN.

1.) Deaktiviere den Wächter von Avira.

2.) Packe den Ordner c:\qoobox mit Zip oder Rar, lade das Archiv bei einem Filehoster hoch und schicke mir den Link als PN.

3.) Aktiviere den Wächter von Avira.

4.) Start => Ausführen => combofix /u => OK

5.) http://www.trojaner-board.de/51187-a...i-malware.html

6.) http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3 der Anleitung)

ciao, andreas

der_gizmo · 17.07.2009, 18:39

Prima, das hört sich doch shcon einmal vielversprechend an

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2421
Windows 5.1.2600 Service Pack 3

17.07.2009 19:32:56
mbam-log-2009-07-17 (19-32-56).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 289120
Laufzeit: 1 hour(s), 20 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Programme\Mozilla Firefox\plugins\NPAskSBr.dll (Trojan.Agent) -> Delete on reboot.
C:\Programme\AskSBar\bar\1.bin\A2PLUGIN.DLL (Adware.MyWebSearch) -> Delete on reboot.
C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL (Adware.AskSBAR) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\TypeLib\{f0d4b230-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f0d4b23a-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f0d4b23c-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b15fd82e-85bc-430d-90cb-65db1b030510} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f0d4b231-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f0d4b231-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f0d4b231-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f0d4b23b-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{f0d4b23b-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa} (Adware.AskSBAR) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Mozilla Firefox\plugins\NPAskSBr.dll (Trojan.Agent) -> Delete on reboot.
C:\Programme\AskSBar\bar\1.bin\A2PLUGIN.DLL (Adware.MyWebSearch) -> Delete on reboot.
C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL (Adware.AskSBAR) -> Delete on reboot.
c:\dokumente und einstellungen\kwam\Desktop\Hopsassa.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\kwam\lokale einstellungen\anwendungsdaten\Mozilla\Firefox\Profiles\rf06ey9t.default\Cache\AB6774E1d01 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\programme\AskSBar\bar\1.bin\A2HIGHIN.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
c:\programme\AskSBar\bar\1.bin\NPASKSBR.DLL (Trojan.Agent) -> Quarantined and deleted successfully.

john.doe · 17.07.2009, 18:43

Die gehen immer mehr auf den Firefox los.

ciao, andreas

der_gizmo · 17.07.2009, 21:22

Code:

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 07/17/2009 at 10:14 PM

Application Version : 4.26.1006

Core Rules Database Version : 4002
Trace Rules Database Version: 1942

Scan type       : Complete Scan
Total Scan Time : 01:58:34

Memory items scanned      : 727
Memory threats detected   : 0
Registry items scanned    : 4935
Registry threats detected : 0
File items scanned        : 217593
File threats detected     : 4

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\kwam\Cookies\kwam@de.at.atwola[1].txt
	C:\Dokumente und Einstellungen\kwam\Cookies\kwam@atwola[1].txt
	C:\Dokumente und Einstellungen\kwam\Cookies\kwam@doubleclick[1].txt
	C:\Dokumente und Einstellungen\kwam\Cookies\kwam@adserver.71i[1].txt

Infiziert?

Log-Analyse und Auswertung: Infiziert?

Infiziert?

Infiziert?

Infiziert?

Infiziert?

Infiziert?

Infiziert?

Infiziert?

Infiziert?

Infiziert?

Infiziert?

Infiziert?

Infiziert?

Infiziert?

Infiziert?

Infiziert?

Ähnliche Themen: Infiziert?

16.07.2009, 00:11	#31
john.doe	Infiziert? Stop. Malwarebytes noch nicht einsetzen. Wir müssen erstmal Scripten. Morgen geht es weiter. ciao, andreas __________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Für alle Neuen Anleitungen Virenscanner Kompromittierung unvermeidbar?

16.07.2009, 00:14	#32
der_gizmo	Infiziert? Ok, Scan ist abgebrochen. Gute nacht! __________________

16.07.2009, 19:24	#34
der_gizmo	Infiziert? Uff, 955213 Zeichen... Gibt es bestimmte Bereiche, die ich außen vor lassen kann? Knapp ne Million Zeichen, d.h. ich müsste 40 Posts erstellen, um das gesamte Log zu posten. Oder soll ich den Report eventuell irgendwo hosten und dir dann den Link per PN schicken?

16.07.2009, 20:02	#36
der_gizmo	Infiziert? http://www.materialordner.de/ui9IOUV7VYEGTYjwftLVb41S6rAIsR3.html ComboFix ist beim ersten Start nach knapp 5 Minuten abgestürzt, im zweiten Anlauf hat es dann geklappt. Ich hoffe, dieser Umstand beeinflusste das Log nicht in irgendeiner Weise.

16.07.2009, 21:14	#38
der_gizmo	Infiziert? Ich bin gerade von einem Laptop aus online. Der GMER-Scan dauert nun bereits eine Stunde. Ich muss nun aber außer Haus, ich lasse das Programm weiterlaufen und liefer morgen das Ergebnis nach. Gruß

16.07.2009, 21:22	#39
john.doe	Infiziert? Alles klar. Gute Nacht, andreas __________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Für alle Neuen Anleitungen Virenscanner Kompromittierung unvermeidbar?

17.07.2009, 18:43	#44
john.doe	Infiziert? Die gehen immer mehr auf den Firefox los. ciao, andreas __________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Für alle Neuen Anleitungen Virenscanner Kompromittierung unvermeidbar?