| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
03.09.2009, 08:29
| #16 |
 |  GMER-log Hallo, nachdem ich alle Daten auf 13 DVDs gesichert habe (externe Festplatten sind hier in Russland wahnsinnig teuer), konnte ich nun endlich GMER durchlaufen lassen. Beim ersten Versuch wollte ich die Laufwerke C und D durchsuchen lassen, doch nach 40 Min. hat sich Windows nach einem schwerwiegenden Systemfehler neugestartet. Daraufhin habe ich dann GMER nur C durchsuchen lassen, was relativ schnell ging und mir folgenden Log ausgespuckt hat (leider mit Rootkit-Fund  ):Code:
ATTFilter GMER 1.0.15.15077 [wqew7rip.exe] - h**p://www.gmer.net
Rootkit scan 2009-09-03 14:17:16
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT F8C57EAE ZwCreateKey
SSDT F8C57EA4 ZwCreateThread
SSDT F8C57EB3 ZwDeleteKey
SSDT F8C57EBD ZwDeleteValueKey
SSDT F8C57EC2 ZwLoadKey
SSDT F8C57E90 ZwOpenProcess
SSDT F8C57E95 ZwOpenThread
SSDT F8C57ECC ZwReplaceKey
SSDT F8C57EC7 ZwRestoreKey
SSDT F8C57EB8 ZwSetValueKey
SSDT F8C57E9F ZwTerminateProcess
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] wfccfw <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?
Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@DisplayName System Helper
Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@Description ????????????? ????????? ???????, ????? ??? ??????????? ? Windows, ? ???? ? ????????? ? ?????? ??????????????. ?????????? ??????????? ?? ??????? ''COM+ ????????? ???????'', ???????? ??????????.
Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw\Parameters@ServiceDll C:\WINDOWS\system32\sqccyf.dll
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?
Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@DisplayName System Helper
Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@Description ????????????? ????????? ???????, ????? ??? ??????????? ? Windows, ? ???? ? ????????? ? ?????? ??????????????. ?????????? ??????????? ?? ??????? ''COM+ ????????? ???????'', ???????? ??????????.
Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw\Parameters@ServiceDll C:\WINDOWS\system32\sqccyf.dll
---- EOF - GMER 1.0.15 ----
Danke fuer die Hilfe! Sonja |
|
03.09.2009, 18:07
| #17 | |
  |  Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Lade mal diese Datei:
__________________Zitat:
__________________ |
|
03.09.2009, 18:23
| #18 |
| | smlogsvc.exe - Virustotal-Report Here we go...
__________________Code:
ATTFilter
File smlogsvc.exe received on 2009.09.03 17:11:55 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 0/41 (0%)
Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.03 -
AhnLab-V3 5.0.0.2 2009.09.03 -
AntiVir 7.9.1.8 2009.09.03 -
Antiy-AVL 2.0.3.7 2009.09.03 -
Authentium 5.1.2.4 2009.09.03 -
Avast 4.8.1335.0 2009.09.03 -
AVG 8.5.0.409 2009.09.03 -
BitDefender 7.2 2009.09.03 -
CAT-QuickHeal 10.00 2009.09.02 -
ClamAV 0.94.1 2009.09.03 -
Comodo 2196 2009.09.03 -
DrWeb 5.0.0.12182 2009.09.03 -
eSafe 7.0.17.0 2009.09.03 -
eTrust-Vet 31.6.6718 2009.09.03 -
F-Prot 4.5.1.85 2009.09.03 -
F-Secure 8.0.14470.0 2009.09.03 -
Fortinet 3.120.0.0 2009.09.03 -
GData 19 2009.09.03 -
Ikarus T3.1.1.72.0 2009.09.03 -
Jiangmin 11.0.800 2009.09.03 -
K7AntiVirus 7.10.835 2009.09.03 -
Kaspersky 7.0.0.125 2009.09.03 -
McAfee 5730 2009.09.03 -
McAfee+Artemis 5730 2009.09.03 -
McAfee-GW-Edition 6.8.5 2009.09.03 -
Microsoft 1.5005 2009.09.03 -
NOD32 4392 2009.09.03 -
Norman 6.01.09 2009.09.02 -
nProtect 2009.1.8.0 2009.09.03 -
Panda 10.0.2.2 2009.09.03 -
PCTools 4.4.2.0 2009.09.03 -
Prevx 3.0 2009.09.03 -
Rising 21.45.14.00 2009.09.01 -
Sophos 4.45.0 2009.09.03 -
Sunbelt 3.2.1858.2 2009.09.02 -
Symantec 1.4.4.12 2009.09.03 -
TheHacker 6.3.4.3.396 2009.09.03 -
TrendMicro 8.950.0.1094 2009.09.03 -
VBA32 3.12.10.10 2009.09.03 -
ViRobot 2009.9.3.1916 2009.09.03 -
VirusBuster 4.6.5.0 2009.09.03 -
Additional information
File size: 91648 bytes
MD5...: 0122a6025e708fd8c60bf041dffd933f
SHA1..: 213e2308a69a44f7247ecce8056f99a28dc26b1c
SHA256: 95cfa43b380d158c33f36075701a7f9d439fb0a139e4a1e068a3885ebf98f520
ssdeep: 1536:vS2t2mgA1b0GyMw1V0oAjGw97Qime5l7l+aK3xGgss8UwYqu:vtvePyG0E9
4l+amGgss8Qqu
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x9963
timedatestamp.....: 0x41107b42 (Wed Aug 04 05:59:30 2004)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1064e 0x10800 6.47 7dc4278423b780c246709e70479497cb
.data 0x12000 0x2394 0xa00 4.06 27291e4880e6429386c21d058f932a90
.rsrc 0x15000 0x4e90 0x5000 4.00 445084bf64afd5d139623fdc0002820f
( 7 imports )
> ADVAPI32.dll: RegCloseKey, RegQueryValueExW, RegOpenKeyExW, ReportEventW, RegSetValueExW, SetServiceStatus, RegEnumKeyExW, QueryTraceW, CreateProcessAsUserW, UpdateTraceW, DeregisterEventSource, RegisterServiceCtrlHandlerW, StartServiceCtrlDispatcherW, RegisterEventSourceW, ControlService, CloseServiceHandle, OpenServiceW, OpenSCManagerW, StopTraceW, EnableTrace, StartTraceW, WmiNotificationRegistrationW
> KERNEL32.dll: FormatMessageW, LoadLibraryW, lstrcpyW, HeapFree, lstrlenW, HeapAlloc, GetProcessHeap, CloseHandle, GetLastError, CreateFileW, SetErrorMode, ExpandEnvironmentStringsW, SystemTimeToFileTime, GetLocalTime, EnterCriticalSection, LeaveCriticalSection, WaitForSingleObject, lstrcmpiW, CreateDirectoryW, GetFullPathNameW, lstrcpynW, CreateProcessW, SetEvent, CreateThread, CreateEventW, GetSystemTimeAsFileTime, DeleteCriticalSection, WaitForMultipleObjects, ResetEvent, Sleep, InitializeCriticalSection, FreeLibrary, lstrcatW, SetLastError, SetThreadPriority, GetCurrentThread, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetCommandLineA, GetVersionExA, WideCharToMultiByte, ExitProcess, GetProcAddress, GetModuleHandleA, WriteFile, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, VirtualProtect, GetSystemInfo, VirtualQuery, MultiByteToWideChar, LCMapStringA, LCMapStringW, RtlUnwind, InterlockedExchange, LoadLibraryA, GetACP, GetOEMCP, GetCPInfo, VirtualAlloc, HeapReAlloc, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetFilePointer, SetStdHandle, FlushFileBuffers, GetModuleHandleW
> USER32.dll: LoadStringW
> ntdll.dll: NtWaitForSingleObject, NtWaitForMultipleObjects
> NETAPI32.dll: NetMessageBufferSend
> SHLWAPI.dll: -
> pdh.dll: PdhPlaGetLogFileNameW, PdhPlaGetInfoW, PdhiPlaRunAs, PdhSetDefaultRealTimeDataSource, PdhAddCounterW, PdhAdd009CounterW, PdhGetFormattedCounterValue, PdhCollectQueryData, PdhCloseQuery, PdhOpenQueryH, PdhGetLogFileSize, PdhCloseLog, PdhUpdateLogW, PdhOpenLogW, PdhExpandWildCardPathW, PdhParseCounterPathW, PdhiPlaFormatBlanksW
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
 Noch was anderes: die beiden von dir beanstandeten tmp-Dateien scheinen zum Conficker-Wurm gehoert zu haben (ich waehle hier die Vergangenheitsform, da Mbam Conficker "entfernt" hat, die Dienste gestopt sind und mir als Dateigroesse 0 kb angegeben wird, weshalb ich die Dateien auch nicht bei virustotal pruefen lassen konnte). Am meisten Sorgen machen mir die ganzen aktivierten Windows-Remote-Control-Dienste, die eigentlich aufgrund Deaktivierung nicht laufen duerften. Vlt. ein Backdoor? Greetz, Sonja |
|
03.09.2009, 18:27
| #19 |
| | Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Hallo, bist du der russischen Sprache sehr mächtig und kannst du kyrillisch? Wenn ja würde ich bei deinem problem dich lieber an VirusInfo weiterleiten, da dort ebenso gleichsprachig gesprochen wird. Würdest du das tun? Oder sind die Fremdsprachenkenntnisse eher mager?
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!  |
|
03.09.2009, 18:32
| #20 |
| | Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Aehem, mein russisch beschraenkt sich leider auf Hoeflichkeitsfloskeln und leichte Fragen, um wieder zurueckzufinden wenn ich mich (mal wieder) verlaufen hab. Ein russischsprachiges Forum kommt somit fuer mich nicht in Frage. Wenn du aber irgendetwas uebersetzt haben moechtest ist das gar kein Problem (Russen gibt es hier schliesslich genug ;-) Also immer her mit den Fragen, ich bin bereit! |
|
03.09.2009, 18:35
| #21 |
| | Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Kann den deine Gastfamilie dir das nicht übersetzen? 
__________________ --> Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? |
|
03.09.2009, 18:57
| #22 |
| | Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Ja, doch, das meinte ich doch gerade? Aber falls du findest, dass ein russischsprachiges Forum deshalb besser sei, so stimme ich dir hier nicht zu, da die Uebersetzung (bzw. Sinnfindung) von Meldungen usw. relativ leicht ist, aber mit den Leuten zu diskutieren und die Anweisungen genau auf Russisch auszufueren, ist wieder eine andere Sache... Und wie du ja schon gesehen hast, sind sie hier was Computer angeht absolute Laien, Manches musste ich mir hier am Rechner selbst zusammensuchen (z.B. Systemsteuerung, etc.) Wie sieht's denn nun aus mit den Logs, soll ich noch irgendein Programm drueberlaufen lassen, oder was uebersetzen lassen? Gmer hat ja ein nettes Rootkit gefunden, oder ist das vlt. ein Fehlalarm (waere ja zu schoen um wahr zu sein)? Und die Remote-Prozesse? Ich geh jetzt mal ins Bett (hab gerade festgestellt, dass es auf 2 Uhr zugeht.. hatte mich schon gewundert, weshalb ich muede bin) und werde mich dann morgen wieder melden, und etwaige Anweisungen ausfuehren (und um vlt. wieder etwas schlauer bzgl. dieses PCs zu sein). Spokoinoi Notch (dafuer reichen meine Kenntnisse noch) ;-) Sonja |
|
03.09.2009, 19:26
| #23 |
| | Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Ne Frage: ist das ein russisches XP? ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Besonders hartnäckige Malware erkennt eine combofix.exe und würde sich vor ihr gezielt verstecken! Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! Geändert von Angel21 (03.09.2009 um 19:38 Uhr) |
|
04.09.2009, 08:22
| #24 |
| | ComboFix-Log Hallo, hier bin ich wieder Ich hab deine Anleitung befolgt und folgenden Log von ComboFix bekommen: Code:
ATTFilter ComboFix 09-09-03.02 - *** 04.09.2009 13:59.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.511.289 [GMT 6:00]
Running from: c:\documents and settings\***\Рабочий стол\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
D:\80avp08.com
D:\u.bat
D:\w.com
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_KAVSYS
-------\Service_AVPsys
((((((((((((((((((((((((( Files Created from 2009-08-04 to 2009-09-04 )))))))))))))))))))))))))))))))
.
2009-09-03 06:04 . 2009-09-03 06:04 -------- d-----w- c:\program files\VideoLAN
2009-09-02 05:01 . 2009-09-02 05:01 -------- d-----w- c:\documents and settings\***\Application Data\Foxit
2009-09-02 05:01 . 2009-09-02 05:01 -------- d-----w- c:\program files\Foxit Software
2009-09-02 01:47 . 2009-09-02 01:47 -------- d-----w- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2009-09-02 01:46 . 2009-09-02 01:46 -------- d-----w- c:\program files\SUPERAntiSpyware
2009-09-02 01:46 . 2009-09-02 01:46 -------- d-----w- c:\documents and settings\***\Application Data\SUPERAntiSpyware.com
2009-09-02 01:45 . 2009-09-02 01:45 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2009-09-01 09:14 . 2009-09-01 09:14 -------- d-----w- C:\rsit
2009-09-01 09:07 . 2009-09-01 09:07 -------- d-----w- c:\program files\CCleaner
2009-09-01 08:37 . 2009-09-01 09:14 -------- d-----w- c:\program files\HiJack This
2009-08-24 16:37 . 2009-08-24 16:37 -------- d-----w- c:\documents and settings\Администратор\Application Data\Malwarebytes
2009-08-24 03:58 . 2009-08-24 03:58 0 ----a-w- c:\windows\nsreg.dat
2009-08-24 03:58 . 2009-08-24 03:58 -------- d-----w- c:\documents and settings\***\Local Settings\Application Data\Mozilla
2009-08-24 03:37 . 2009-07-28 10:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-24 03:37 . 2009-03-30 04:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-08-24 03:37 . 2009-02-13 06:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-08-24 03:37 . 2009-02-13 06:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-08-24 03:37 . 2009-08-24 03:37 -------- d-----w- c:\program files\Avira
2009-08-24 03:37 . 2009-08-24 03:37 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-08-23 16:21 . 2009-08-24 01:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-08-23 16:20 . 2009-08-23 16:20 -------- d-----w- c:\documents and settings\***\Application Data\Malwarebytes
2009-08-23 16:20 . 2009-08-03 07:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-23 16:20 . 2009-08-23 16:20 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-23 16:20 . 2009-08-23 16:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-23 16:20 . 2009-08-03 07:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-03 05:58 . 2009-01-03 12:30 -------- d-----w- c:\documents and settings\***\Application Data\Skype
2009-09-03 05:39 . 2009-01-03 12:30 -------- d-----w- c:\documents and settings\***\Application Data\skypePM
2009-09-02 04:44 . 2009-01-03 12:23 -------- d-----w- c:\program files\Google
2009-08-16 09:06 . 2008-03-05 16:43 -------- d-----w- c:\program files\Winamp
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PcSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2005-11-30 1306624]
"SoftAuto.exe"="c:\program files\Creative\Software Update 3\SoftAuto.exe" [2008-05-28 401408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-12 7626752]
"QuickTime Task"="c:\program files\K-Lite Codec Pack\QuickTime\qttask.exe" [2007-06-29 286720]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-18 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 06:05 356352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Ускоренный запуск Adobe Reader.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Ускоренный запуск Adobe Reader.lnk
backup=c:\windows\pss\Ускоренный запуск Adobe Reader.lnkCommon Startup
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\StrongDC\\StrongDC.exe"=
"d:\\itunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3763:TCP"= 3763:TCP:hlpshl
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [05.08.2009 16:06 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [05.08.2009 16:06 74480]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [24.08.2009 9:37 108289]
R3 ctgame;Game Port;c:\windows\system32\drivers\ctgame.sys [30.12.2002 10:53 12160]
S2 wfccfw;System Helper;c:\windows\system32\svchost.exe -k netsvcs [18.08.2004 18:00 14336]
S3 CTUPnPSv;Creative Centrale Media Server;c:\program files\Creative\Creative Centrale\CTUPnPSv.exe [21.05.2008 17:42 64000]
S3 iztwg;iztwg;\??\c:\windows\system32\03.tmp --> c:\windows\system32\03.tmp [?]
S3 ojcbx;ojcbx;\??\c:\windows\system32\01.tmp --> c:\windows\system32\01.tmp [?]
S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [05.08.2009 16:06 7408]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
wfccfw
.
Contents of the 'Scheduled Tasks' folder
2009-08-27 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 06:34]
.
.
------- Supplementary Scan -------
.
uStart Page = about:blank
FF - ProfilePath - c:\documents and settings\***\Application Data\Mozilla\Firefox\Profiles\8j9a2wcz.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - plugin: d:\itunes\Mozilla Plugins\npitunes.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-09-04 14:04
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iztwg]
"ImagePath"="\??\c:\windows\system32\03.tmp"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ojcbx]
"ImagePath"="\??\c:\windows\system32\01.tmp"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wfccfw]
"ServiceDll"="c:\windows\system32\sqccyf.dll"
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(688)
c:\program files\SUPERAntiSpyware\SASWINLO.dll
- - - - - - - > 'explorer.exe'(1124)
c:\windows\system32\WPDShServiceObj.dll
c:\program files\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 6\PCSCM.dll
c:\windows\system32\ConnAPI.DLL
c:\program files\Nokia\Nokia PC Suite 6\Lang\PhoneBrowser_rus.nlr
c:\program files\Nokia\Nokia PC Suite 6\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Creative\Shared Files\CTDevSrv.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wscntfy.exe
c:\progra~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
c:\progra~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
.
**************************************************************************
.
Completion time: 2009-09-04 14:07 - machine was rebooted
ComboFix-quarantined-files.txt 2009-09-04 08:07
Pre-Run: 3*177*705*472 байт свободно
Post-Run: 3*136*237*568 байт свободно
156 --- E O F --- 2008-10-25 18:12
 Kann ich mit GMER eigentlich auch fixen, oder macht es das sogar automatisch? Und wie sieht's mit HJT-Fixen aus, zumindest die beiden tmp's und die 4 CMD's koennte man damit doch entfernen, oder nicht?  Ach ja, und das hier ist die russische Variante des XP, deshalb so viel kyrillisch (und fuer mich eine etwas erschwerte Bedienung). Bin gespannt, was ihr anzubieten habt  Sonja |
|
04.09.2009, 08:35
| #25 |
| | RSIT-log Ich hab auch mal gerade noch einmal RSIT drueberlaufen lassen, nach all den Aenderungen gibt's da vielleicht was Neues.... Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by *** at 2009-09-04 14:26:36 Microsoft Windows XP Professional Service Pack 2 System drive C: has 3 GB (30%) free of 10 GB Total RAM: 511 MB (59% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:26:52, on 04.09.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Creative\Shared Files\CTDevSrv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE C:\WINDOWS\explorer.exe C:\Documents and Settings\Лиза\Рабочий стол\RSIT.exe C:\Program Files\HiJack This\***.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [SoftAuto.exe] "C:\Program Files\Creative\Software Update 3\SoftAuto.exe" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://vkontakte.ru/uploader/ImageUploader4.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe O23 - Service: Creative Centrale Media Server (CTUPnPSv) - Creative Technology Ltd - C:\Program Files\Creative\Creative Centrale\CTUPnPSv.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: Сервис iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe -- End of file - 5863 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\AppleSoftwareUpdate.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{22BF413B-C6D2-4d91-82A9-A0F997BA588C}] Skype add-on (mastermind) - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2008-11-18 1082880] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-07-12 7626752] "QuickTime Task"=C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe [2007-06-29 286720] "avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "PcSync"=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe [2005-11-30 1306624] "SoftAuto.exe"=C:\Program Files\Creative\Software Update 3\SoftAuto.exe [2008-05-28 401408] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE [2004-08-18 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper] C:\WINDOWS\CTHELPER.EXE [2006-08-11 17920] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTxfiHlp] C:\WINDOWS\system32\CTXFIHLP.EXE [2006-08-11 18944] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] D:\itunes\iTunesHelper.exe [2007-09-26 267064] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] C:\WINDOWS\system32\NvCpl.dll [2006-07-12 7626752] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] C:\WINDOWS\system32\NvMcTray.dll [2006-07-12 86016] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] nwiz.exe /install [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE [2005-12-13 217088] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] C:\Program Files\K-Lite Codec Pack\QuickTime\QTTask.exe [2007-06-29 286720] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] C:\Program Files\Winamp\winampa.exe [2005-10-27 33792] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Microsoft Office.lnk] C:\PROGRA~1\MICROS~2\Office\OSA9.EXE [2005-03-03 65588] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Ускоренный запуск Adobe Reader.lnk] C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER~1.EXE [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon] C:\Program Files\SUPERAntiSpyware\SASWINLO.dll [2008-12-22 356352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=323 "NoDriveAutoRun"=67108863 "NoDrives"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveAutoRun"= "NoDriveTypeAutoRun"= "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "D:\StrongDC\StrongDC.exe"="D:\StrongDC\StrongDC.exe:*:Enabled:StrongDC++" "D:\itunes\iTunes.exe"="D:\itunes\iTunes.exe:*:Enabled:iTunes" "C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" ======List of files/folders created in the last 1 months====== 2009-09-04 14:07:51 ----D---- C:\WINDOWS\temp 2009-09-04 14:07:49 ----A---- C:\ComboFix.txt 2009-09-04 13:58:15 ----A---- C:\WINDOWS\zip.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\SWXCACLS.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\SWSC.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\SWREG.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\sed.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\PEV.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\NIRCMD.exe 2009-09-04 13:58:15 ----A---- C:\WINDOWS\grep.exe 2009-09-04 13:58:11 ----D---- C:\WINDOWS\ERDNT 2009-09-04 13:58:07 ----D---- C:\Qoobox 2009-09-03 12:04:05 ----D---- C:\Program Files\VideoLAN 2009-09-02 11:01:44 ----D---- C:\Documents and Settings\Лиза\Application Data\Foxit 2009-09-02 11:01:11 ----D---- C:\Program Files\Foxit Software 2009-09-02 10:44:29 ----D---- C:\WINDOWS\system32\appmgmt 2009-09-02 10:41:55 ----SHD---- C:\Config.Msi 2009-09-02 07:47:01 ----D---- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com 2009-09-02 07:46:50 ----D---- C:\Program Files\SUPERAntiSpyware 2009-09-02 07:46:50 ----D---- C:\Documents and Settings\Лиза\Application Data\SUPERAntiSpyware.com 2009-09-02 07:45:55 ----D---- C:\Program Files\Common Files\Wise Installation Wizard 2009-09-01 15:14:21 ----D---- C:\rsit 2009-09-01 15:07:38 ----D---- C:\Program Files\CCleaner 2009-09-01 14:37:40 ----D---- C:\Program Files\HiJack This 2009-08-24 09:58:52 ----D---- C:\Documents and Settings\***\Application Data\Mozilla 2009-08-24 09:37:03 ----D---- C:\Program Files\Avira 2009-08-24 09:37:03 ----D---- C:\Documents and Settings\All Users\Application Data\Avira 2009-08-23 22:21:57 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2009-08-23 22:20:57 ----D---- C:\Documents and Settings\Лиза\Application Data\Malwarebytes 2009-08-23 22:20:51 ----D---- C:\Program Files\Malwarebytes' Anti-Malware 2009-08-23 22:20:51 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2009-08-23 22:19:47 ----D---- C:\Program Files\Mozilla Firefox ======List of files/folders modified in the last 1 months====== 2009-09-04 14:07:52 ----D---- C:\WINDOWS\system32\drivers 2009-09-04 14:07:52 ----D---- C:\WINDOWS\system32 2009-09-04 14:07:51 ----D---- C:\WINDOWS 2009-09-04 14:06:56 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-09-04 14:05:07 ----D---- C:\WINDOWS\system32\CatRoot2 2009-09-04 14:05:02 ----A---- C:\WINDOWS\system.ini 2009-09-04 14:03:29 ----D---- C:\WINDOWS\system32\config 2009-09-04 14:02:06 ----D---- C:\WINDOWS\AppPatch 2009-09-04 14:02:03 ----D---- C:\Program Files\Common Files 2009-09-04 13:59:02 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-09-04 13:58:15 ----SHD---- C:\System Volume Information 2009-09-04 13:58:15 ----D---- C:\WINDOWS\system32\Restore 2009-09-04 13:58:11 ----D---- C:\WINDOWS\Prefetch 2009-09-04 13:14:01 ----D---- C:\WINDOWS\Minidump 2009-09-03 15:23:18 ----RD---- C:\Program Files 2009-09-03 11:58:16 ----D---- C:\Documents and Settings\***\Application Data\Skype 2009-09-03 11:39:04 ----D---- C:\Documents and Settings\***\Application Data\skypePM 2009-09-02 10:44:50 ----D---- C:\Program Files\Google 2009-09-02 10:44:50 ----D---- C:\Documents and Settings\All Users\Application Data\Google 2009-09-02 10:44:49 ----SHD---- C:\WINDOWS\Installer 2009-09-01 15:08:54 ----D---- C:\WINDOWS\Debug 2009-08-25 11:30:54 ----SH---- C:\boot.ini 2009-08-25 11:30:54 ----A---- C:\WINDOWS\win.ini 2009-08-24 09:37:15 ----HD---- C:\WINDOWS\inf 2009-08-24 09:35:49 ----D---- C:\WINDOWS\WinSxS 2009-08-16 15:06:03 ----D---- C:\Program Files\Winamp 2009-08-14 23:34:25 ----SD---- C:\WINDOWS\Downloaded Program Files ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 intelppm;Драйвер Intel процессора; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-18 40448] R1 SASDIFSV;SASDIFSV; \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS [] R1 SASKUTIL;SASKUTIL; \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys [] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-07-28 55656] R3 Arp1394;Протокол клиента 1394 ARP; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2004-08-18 60800] R3 catchme;catchme; \??\C:\ComboFix\catchme.sys [] R3 ctac32k;Creative AC3 Software Decoder; C:\WINDOWS\system32\drivers\ctac32k.sys [2006-08-11 502272] R3 ctaud2k;Creative Audio Driver (WDM); C:\WINDOWS\system32\drivers\ctaud2k.sys [2006-08-11 499584] R3 ctgame;Game Port; C:\WINDOWS\system32\DRIVERS\ctgame.sys [2002-12-30 12160] R3 ctprxy2k;Creative Proxy Driver; C:\WINDOWS\system32\drivers\ctprxy2k.sys [2006-08-11 7168] R3 ctsfm2k;Creative SoundFont Management Device Driver; C:\WINDOWS\system32\drivers\ctsfm2k.sys [2006-08-11 143872] R3 EL2000;3Com 3C2000x EtherLink XL Adapter; C:\WINDOWS\system32\DRIVERS\EL2K_XP.sys [2008-03-05 147328] R3 emupia;E-mu Plug-in Architecture Driver; C:\WINDOWS\system32\drivers\emupia2k.sys [2006-08-11 78336] R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2006-09-19 15664] R3 ha10kx2k;Creative Hardware Abstract Layer Driver; C:\WINDOWS\system32\drivers\ha10kx2k.sys [2006-08-11 766976] R3 hap16v2k;Creative P16V HAL Driver; C:\WINDOWS\system32\drivers\hap16v2k.sys [2006-08-11 154112] R3 NIC1394;Сетевой драйвер 1394; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2004-08-18 61824] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-07-12 3934592] R3 ossrv;Creative OS Services Driver; C:\WINDOWS\system32\drivers\ctoss2k.sys [2006-08-11 116224] R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-18 26624] R3 usbhub;USB2 концентратор; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-18 57600] R3 usbuhci;Драйвер минипорта Microsoft USB универсального хост-контроллера; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-18 20480] S3 ctdvda2k;Creative DVD-Audio Device Driver; C:\WINDOWS\system32\drivers\ctdvda2k.sys [2005-11-10 340704] S3 hap17v2k;Creative P17V HAL Driver; C:\WINDOWS\system32\drivers\hap17v2k.sys [2006-08-11 180224] S3 iztwg;iztwg; \??\C:\WINDOWS\system32\03.tmp [] S3 Nokia USB Generic;Nokia USB Generic; C:\WINDOWS\system32\drivers\nmwcdc.sys [2005-10-13 8704] S3 Nokia USB Modem;Nokia USB Modem; C:\WINDOWS\system32\drivers\nmwcdcm.sys [2005-10-13 12800] S3 Nokia USB Phone Parent;Nokia USB Phone Parent; C:\WINDOWS\system32\drivers\nmwcd.sys [2005-10-13 124928] S3 Nokia USB Port;Nokia USB Port; C:\WINDOWS\system32\drivers\nmwcdcj.sys [2005-10-13 12800] S3 ojcbx;ojcbx; \??\C:\WINDOWS\system32\01.tmp [] S3 SASENUM;SASENUM; \??\C:\Program Files\SUPERAntiSpyware\SASENUM.SYS [] S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2007-09-06 30336] S3 USBSTOR;Драйвер запоминающих устройств для USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2004-08-18 12032] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Scheduler; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2007-09-06 110592] R2 CTDevice_Srv;CT Device Query service; C:\Program Files\Creative\Shared Files\CTDevSrv.exe [2007-04-02 61440] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-07-12 155715] R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2004-08-18 14336] S3 CTUPnPSv;Creative Centrale Media Server; C:\Program Files\Creative\Creative Centrale\CTUPnPSv.exe [2008-05-21 64000] S3 iPod Service;Сервис iPod; C:\Program Files\iPod\bin\iPodService.exe [2007-09-26 503608] S3 WMPNetworkSvc;Служба общих сетевых ресурсов проигрывателя Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-02 914944] -----------------EOF----------------- |
|
04.09.2009, 17:01
| #26 |
| | Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code:
ATTFilter files to delete:
c:\windows\system32\sqccyf.dll
c:\windows\system32\01.tmp
c:\windows\system32\03.tmp
registry keys to delete:
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iztwg
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ojcbx
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wfccfw
drivers to delete:
wfccfw
iztwg
ojcbx
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
|
06.09.2009, 17:45
| #27 |
| | Avenger-log Hi! Sorry fuer die verzoegerte Antowrt, aber ich war die letzten zwei Tage auf einer Konferenz und konnte somit mich nicht weiter meinem Lieblings-PC kuemmern  Hier der gewuenschte Log von Avenger: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "c:\windows\system32\sqccyf.dll" not found!
Deletion of file "c:\windows\system32\sqccyf.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "c:\windows\system32\01.tmp" not found!
Deletion of file "c:\windows\system32\01.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "c:\windows\system32\03.tmp" not found!
Deletion of file "c:\windows\system32\03.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iztwg" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ojcbx" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wfccfw" deleted successfully.
Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\wfccfw" not found!
Deletion of driver "wfccfw" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\iztwg" not found!
Deletion of driver "iztwg" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\ojcbx" not found!
Deletion of driver "ojcbx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
Danke vielmals! |
|
06.09.2009, 17:58
| #28 |
| | Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? 1. Poste ein erneutes GMER Log bitte. 2. Danach eine neue RSIT (nur die Log.txt) 3. Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
|
06.09.2009, 19:28
| #29 |
| | GMER-log Nr. 2 Wow, danke fuer die wieder mal schnelle Antwort! Hier Punkt 1, der GMER-log: Code:
ATTFilter GMER 1.0.15.15077 [p9i2wwe5.exe] - h**p://www.gmer.net
Rootkit scan 2009-09-07 01:13:23
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT F8C0C696 ZwCreateKey
SSDT F8C0C68C ZwCreateThread
SSDT F8C0C69B ZwDeleteKey
SSDT F8C0C6A5 ZwDeleteValueKey
SSDT F8C0C6AA ZwLoadKey
SSDT F8C0C678 ZwOpenProcess
SSDT F8C0C67D ZwOpenThread
SSDT F8C0C6B4 ZwReplaceKey
SSDT F8C0C6AF ZwRestoreKey
SSDT F8C0C6A0 ZwSetValueKey
SSDT F8C0C687 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
? ajlwr.sys Не удается найти указанный файл. !
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?
---- EOF - GMER 1.0.15 ----
 Die russische Meldung "Не удается найти указанный файл.!" zu ajlwr.sys lautet uebersetzt uebrigens "Konnte angegebene Datei nicht finden.!" |
|
06.09.2009, 19:33
| #30 |
| | Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Das Gmer-Log sieht schonmal sehr viel freundlicher aus Bitte noch den Rest abarbeiten
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around! |
|
| Themen zu Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? |
| .dll, 0 bytes, abgesicherten modus, adware, antiviren-programm, avira, check, csrss.exe, desktop, entfernen, explorer.exe, file, frage, free, keine funde, logon.exe, lsass.exe, moved, neustart, nicht sicher, nt.dll, prozesse, realplayer, services.exe, spyware, svchost.exe, taskmanager, trojaner, virus, warning, windows system, windows-update, winlogon.exe, zu lang |
Linear-Darstellung
