winlog.exe ist Backdoor.Agobot.LF?

freakout · 04.09.2009, 17:09

Zitat:

Externe Datenträger schützen um erneuten Befall zu vermeiden.

Alle externen Datenträger? Also auch Handy usw?

Zitat:

Solltest du noch irgendetwas mit dem Computer verbinden ... dann stecke vor dem Scan alles an.

Wieso denn das? Alles, das während dem Befall angesteckt war oder generell alles? (Klingt vielleicht blöd, aber ich hab ja nicht mal genügend Steckplätze für alles... verstehe ich da was falsch?)

Müsste ich diese Prozedur auch machen, wenn ich Neuinstalliere?

Ich weiß, ich strapaziere deine Geduld, aber ich wüsste gerne meine Möglichkeiten kennen

john.doe · 04.09.2009, 17:15

Zitat:

Alle externen Datenträger? Also auch Handy usw?

Nur dann, wenn sie keine Software brauchen. Alles, das im Arbeitsplatz erscheint.

Zitat:

Wieso denn das? Alles, das während dem Befall angesteckt war oder generell alles? (Klingt vielleicht blöd, aber ich hab ja nicht mal genügend Steckplätze für alles... verstehe ich da was falsch?)

Generell alles. Falls du einen übersehen solltest, hast du durch ein einziges Anstecken wieder alles infiziert. Hast du ja am Beispiel des USB-Sticks gesehen.

Falls du nicht genügend Steckplätze hast, es gibt direkt im Anschluss einen zweiten ComboFix-Lauf. Da kommen die nächsten dran.

Zitat:

Müsste ich diese Prozedur auch machen, wenn ich Neuinstalliere?

Die externen Datenträger müssen auch dann vorher gesäubert werden. Ansonsten wird es dir wie dem hier ergehen => http://www.trojaner-board.de/68318-r...-erhalten.html

Der durfte gleich dreimal Neuinstallieren.

ciao, andreas

freakout · 05.09.2009, 13:38

So, hab alles angesteckt und das ComboFix laufen lassen.

Hier kommt das Log:

ComboFix 09-09-04.02 - ** 05.09.2009 14:16.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.511.267 [GMT 2:00]
ausgeführt von:: d:\desktop\cofi.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-05 bis 2009-09-05 ))))))))))))))))))))))))))))))
.

2009-09-03 21:22 . 2009-09-03 21:22 -------- d-----w- C:\rsit
2009-09-03 20:53 . 2009-09-03 20:53 -------- d-----w- c:\dokumente und einstellungen\**\Anwendungsdaten\Malwarebytes
2009-09-03 20:53 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-03 20:52 . 2009-09-03 20:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-03 20:52 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-03 20:52 . 2009-09-03 20:53 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-03 20:12 . 2009-09-03 20:12 -------- d-----w- c:\programme\CCleaner
2009-09-03 17:16 . 2009-09-03 17:16 23 --sha-w- c:\windows\system32\edacded0.dat
2009-09-03 17:15 . 2009-09-03 17:16 -------- d-----w- c:\programme\PowerTools Lite
2009-09-03 16:44 . 2009-09-03 16:44 -------- d-----w- c:\programme\Unlocker
2009-08-21 22:35 . 2009-08-28 18:03 -------- d-----w- c:\dokumente und einstellungen\**\Anwendungsdaten\Apple Computer
2009-08-21 22:34 . 2009-03-19 14:32 23400 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2009-08-21 22:34 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2009-08-21 22:34 . 2009-08-21 22:34 -------- d-----w- c:\programme\iPod
2009-08-21 22:33 . 2009-08-21 22:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-08-21 22:33 . 2009-08-26 20:26 -------- d-----w- c:\programme\iTunes
2009-08-21 22:31 . 2009-08-21 22:31 -------- d-----w- c:\programme\Bonjour
2009-08-21 22:30 . 2009-08-21 22:31 -------- d-----w- c:\programme\QuickTime
2009-08-21 22:30 . 2009-08-21 22:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-08-21 22:29 . 2009-08-21 22:29 -------- d-----w- c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Apple
2009-08-21 22:29 . 2009-08-21 22:29 -------- d-----w- c:\programme\Apple Software Update
2009-08-21 22:28 . 2009-08-21 22:34 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2009-08-21 22:28 . 2009-08-21 22:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-08-21 22:27 . 2009-08-21 22:35 -------- d-----w- c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2009-08-16 17:18 . 2009-08-16 17:18 552 ----a-w- c:\windows\system32\d3d8caps.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-01 16:13 . 2009-04-01 14:08 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-08-26 22:43 . 2009-04-02 19:01 -------- d-----w- c:\dokumente und einstellungen\**\Anwendungsdaten\Audacity
2009-08-17 09:19 . 2009-05-23 13:40 -------- d-----w- c:\dokumente und einstellungen\**\Anwendungsdaten\gtk-2.0
2009-08-05 11:41 . 2009-08-05 11:40 249856 ------w- c:\windows\Setup1.exe
2009-08-05 11:41 . 2009-08-05 11:40 73216 ----a-w- c:\windows\ST6UNST.EXE
2009-07-28 15:15 . 2009-07-28 14:37 -------- d-----w- c:\programme\Intel
2009-07-28 14:38 . 2009-07-28 14:38 17801 ----a-w- c:\windows\system32\drivers\AegisP.sys
2009-07-23 05:43 . 2009-07-23 05:43 -------- d-----w- c:\programme\Huawei technologies
2009-07-23 05:43 . 2009-03-29 19:31 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-23 05:42 . 2009-03-29 19:31 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-06-11 11:11 . 2009-03-29 17:57 76936 ----a-w- c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-12-13 17:31 . 2009-03-29 20:06 1660419 ----a-w- c:\programme\SmitfraudFix.exe
2008-09-16 19:17 . 2009-03-29 14:17 968704 ----a-w- c:\programme\WinRAR.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-08-03 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-04-02 198160]
"ZCfgSvc.exe"="c:\windows\system32\ZCfgSvc.exe" [2006-08-03 639040]
"PRONoMgr.exe"="c:\programme\Intel\NCS\PROSet\PRONoMgr.exe" [2005-07-07 135168]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-07-13 292128]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
2006-08-03 01:20 188482 ----a-w- c:\windows\system32\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=xgusb.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"11954:TCP"= 11954:TCP:BitComet 11954 TCP
"11954:UDP"= 11954:UDP:BitComet 11954 UDP

R3 NeroCd2k;NeroCd2k;c:\windows\system32\drivers\NeroCD2k.sys [16.04.2001 06:54 44227]
S3 PAC207;Trust WB-1400T Webcam;c:\windows\system32\drivers\PFC027.SYS [14.05.2007 10:26 508288]
.
Inhalt des "geplante Tasks" Ordners

2009-09-04 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job
- c:\programme\Spybot - Search & Destroy\SpybotSD.exe [2009-04-22 13:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2009-09-05 14:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(864)
c:\windows\system32\LgNotify.dll
.
Zeit der Fertigstellung: 2009-09-05 14:28
ComboFix-quarantined-files.txt 2009-09-05 12:28

Vor Suchlauf: 3.465.428.992 Bytes frei
Nach Suchlauf: 3.452.440.576 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

136

john.doe · 05.09.2009, 13:42

Gut, dann waren die anderen Datenträger zum Glück sauber. Warum hast du mit Smitfraudfix gearbeitet?

ciao, andreas

freakout · 05.09.2009, 13:48

Ich hatte einen vor einiger Zeit einen Befall, bei dem mir dieses Programm empfohlen wurde, und hab es (meines Wissens) auch gelöst bekommen. Ich weiß auch nicht mehr genau warum, nach dem letzten Neuaufsetzen hab ich es dann wieder abgespeichert, für den Fall der Fälle.

Ich wette es ist unnötig, aber aus den Augen, aus dem Sinn...

john.doe · 05.09.2009, 14:05

Jetzt kannst du die Geräte anhängen, die beim ersten Lauf nicht angehängt waren. Die anderen kannst du abziehen.

Hast du Spybot nicht deinstalliert?

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"11954:TCP"=-
"11954:UDP"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"=-
"QuickTime Task"=-
"iTunesHelper"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=-

Folder::
c:\Programme\Bonjour

File::
c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job
c:\programme\SmitfraudFix.exe
DirLook::

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

freakout · 05.09.2009, 14:45

Ist sich mit den Steckplätzen schon ausgegangen

Das mit Spybot hab ich übersehen, hab es aber vorhin gleich deinstalliert.

Log:

ComboFix 09-09-04.02 - ** 05.09.2009 15:19.2.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.511.251 [GMT 2:00]
ausgeführt von:: d:\desktop\cofi.exe
Benutzte Befehlsschalter :: d:\desktop\cfscript.txt

FILE ::
"c:\programme\SmitfraudFix.exe"
"c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Bonjour
c:\programme\Bonjour\About Bonjour.rtf
c:\programme\Bonjour\mdnsNSP.dll
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\SmitfraudFix.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-05 bis 2009-09-05 ))))))))))))))))))))))))))))))
.

2009-09-03 21:22 . 2009-09-03 21:22 -------- d-----w- C:\rsit
2009-09-03 20:53 . 2009-09-03 20:53 -------- d-----w- c:\dokumente und einstellungen\**\Anwendungsdaten\Malwarebytes
2009-09-03 20:53 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-03 20:52 . 2009-09-03 20:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-03 20:52 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-03 20:52 . 2009-09-03 20:53 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-03 20:12 . 2009-09-03 20:12 -------- d-----w- c:\programme\CCleaner
2009-09-03 17:16 . 2009-09-03 17:16 23 --sha-w- c:\windows\system32\edacded0.dat
2009-09-03 17:15 . 2009-09-03 17:16 -------- d-----w- c:\programme\PowerTools Lite
2009-09-03 16:44 . 2009-09-05 13:13 -------- d-----w- c:\programme\Unlocker
2009-08-21 22:35 . 2009-08-28 18:03 -------- d-----w- c:\dokumente und einstellungen\**\Anwendungsdaten\Apple Computer
2009-08-21 22:34 . 2009-03-19 14:32 23400 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2009-08-21 22:34 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2009-08-21 22:34 . 2009-08-21 22:34 -------- d-----w- c:\programme\iPod
2009-08-21 22:33 . 2009-08-21 22:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-08-21 22:33 . 2009-08-26 20:26 -------- d-----w- c:\programme\iTunes
2009-08-21 22:30 . 2009-08-21 22:31 -------- d-----w- c:\programme\QuickTime
2009-08-21 22:30 . 2009-08-21 22:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-08-21 22:29 . 2009-08-21 22:29 -------- d-----w- c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Apple
2009-08-21 22:28 . 2009-08-21 22:34 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2009-08-21 22:28 . 2009-08-21 22:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-08-21 22:27 . 2009-08-21 22:35 -------- d-----w- c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2009-08-16 17:18 . 2009-08-16 17:18 552 ----a-w- c:\windows\system32\d3d8caps.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-05 13:13 . 2009-04-22 14:11 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-09-05 13:13 . 2009-04-22 14:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-01 16:13 . 2009-04-01 14:08 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-08-26 22:43 . 2009-04-02 19:01 -------- d-----w- c:\dokumente und einstellungen\**\Anwendungsdaten\Audacity
2009-08-17 09:19 . 2009-05-23 13:40 -------- d-----w- c:\dokumente und einstellungen\**\Anwendungsdaten\gtk-2.0
2009-08-05 11:41 . 2009-08-05 11:40 249856 ------w- c:\windows\Setup1.exe
2009-08-05 11:41 . 2009-08-05 11:40 73216 ----a-w- c:\windows\ST6UNST.EXE
2009-07-28 15:15 . 2009-07-28 14:37 -------- d-----w- c:\programme\Intel
2009-07-28 14:38 . 2009-07-28 14:38 17801 ----a-w- c:\windows\system32\drivers\AegisP.sys
2009-07-23 05:43 . 2009-07-23 05:43 -------- d-----w- c:\programme\Huawei technologies
2009-07-23 05:43 . 2009-03-29 19:31 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-23 05:42 . 2009-03-29 19:31 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-06-11 11:11 . 2009-03-29 17:57 76936 ----a-w- c:\dokumente und einstellungen\**\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-09-16 19:17 . 2009-03-29 14:17 968704 ----a-w- c:\programme\WinRAR.exe
.

((((((((((((((((((((((((((((( SnapShot@2009-09-05_12.26.49 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-05 13:34 . 2009-09-05 13:34 16384 c:\windows\temp\Perflib_Perfdata_18c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZCfgSvc.exe"="c:\windows\system32\ZCfgSvc.exe" [2006-08-03 639040]
"PRONoMgr.exe"="c:\programme\Intel\NCS\PROSet\PRONoMgr.exe" [2005-07-07 135168]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
2006-08-03 01:20 188482 ----a-w- c:\windows\system32\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=xgusb.cpl

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R3 NeroCd2k;NeroCd2k;c:\windows\system32\drivers\NeroCD2k.sys [16.04.2001 06:54 44227]
S3 PAC207;Trust WB-1400T Webcam;c:\windows\system32\drivers\PFC027.SYS [14.05.2007 10:26 508288]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-05 15:35
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(872)
c:\windows\system32\LgNotify.dll

- - - - - - - > 'explorer.exe'(3360)
c:\progra~1\WINDOW~2\wmpband.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\S24EvMon.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\RegSrvc.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\1XConfig.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-09-05 15:42 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-09-05 13:42
ComboFix2.txt 2009-09-05 12:28

Vor Suchlauf: 3.594.731.520 Bytes frei
Nach Suchlauf: 3.565.912.064 Bytes frei

133

john.doe · 05.09.2009, 14:57

Das sieht gut aus. Also verdächtige Dateien sind in jüngster Zeit nicht dazugekommen, es ist auch nichts zu sehen, das automatisch gestartet wird und da nicht hingehört.

Ändere trotzdem sicherheitshalber alle deine Kennwörter.

1.) Lösche den Ordner c:\rsit und poste neue RSIT-Logs.

2.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

3.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

ciao, andreas

freakout · 05.09.2009, 15:17

bis jetzt ist nur das hier bei Prevx gekommen:

http://npshare.de/files/6223849b/prevx%20screenshot.bmp

Okay, hier die RSIT-Logs:

Code:

ATTFilter

info.txt logfile of random's system information tool 1.06 2009-09-05 16:02:47

======Uninstall list======

-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Apple Mobile Device Support-->MsiExec.exe /I{C337BDAF-CB4E-47E2-BE1A-CB31BB7DD0E3}
Audacity 1.3.5 (Unicode)-->"C:\Programme\Audacity 1.3\unins000.exe"
BitComet FLV Converter 1.0-->C:\Programme\BitComet FLV Converter\uninst.exe
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
CCleaner (remove only)-->"C:\Programme\CCleaner\uninst.exe"
Compatibility Pack für 2007 Office System-->MsiExec.exe /X{90120000-0020-0407-0000-0000000FF1CE}
GIMP 2.6.6-->"C:\Programme\GIMP-2.0\setup\unins000.exe"
Google Toolbar for Internet Explorer-->"C:\Programme\Google\Google Toolbar\Component\GoogleToolbarManager_E582EA556D8DE101.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB914440)-->"C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe"
Intel(R) PRO Network Connections Drivers-->Prounstl.exe
Intel(R) PROSet-->MsiExec.exe /I{74C9DFA1-338F-4bf3-B317-99A9EC8EF9A6}
iTunes-->MsiExec.exe /I{99ECF41F-5CCA-42BD-B8B8-A8333E2E2944}
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Last.fm 1.5.4.24567-->"C:\Programme\scrobbler last.fm\Last.fm\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office XP Professional mit FrontPage-->MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Mobile Connect-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3EAAC5FD-E209-4856-8C49-D4EA40F85032}\setup.exe" -l0x7  -removeonly
Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0}
PDFCreator-->C:\Programme\PDFCreator\unins000.exe
PowerTools Lite-->"C:\Programme\PowerTools Lite\unins000.exe"
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
RealPlayer-->C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
SbX Rechnungswesen HLWFW 1I 08-09-->"C:\Programme\SbX-Manz\Rechnungswesen HLWFW 1I 08-09 - 9783706830775\unins000.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
SoundMAX-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\Setup.exe" 
Trust WB-1400T Webcam-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{30837A37-8F9F-4817-8B52-C501B67DC3BE} /l1031 
Update für Windows XP (KB904942)-->"C:\WINDOWS\$NtUninstallKB904942$\spuninst\spuninst.exe"
VideoLAN VLC media player 0.8.6i-->C:\Programme\VideoLAN\VLC\uninstall.exe
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Live Anmelde-Assistent-->MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
Windows Live installer-->MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
Windows Live Messenger-->MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 10-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
YAMAHA Musicsoft Downloader 5-->C:\Programme\InstallShield Installation Information\{6D3C6846-CDB6-418F-8FDB-DA21FE064F86}\setup.exe -runfromtemp -l0x0007 -removeonly

=====HijackThis Backups=====

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE [2009-04-02]
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) [2009-04-02]
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-04-02]
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE [2009-04-09]
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe [2009-04-22]
O4 - HKCU\..\Run: [winlog.exe] C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft\winlog.exe [2009-09-03]

======System event log======

Computer Name: **
Event Code: 7036
Message: Dienst "Gatewaydienst auf Anwendungsebene" befindet sich jetzt im Status "Ausgeführt".

Record Number: 5608
Source Name: Service Control Manager
Time Written: 20090727130544.000000+120
Event Type: Informationen
User: 

Computer Name: **
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "Gatewaydienst auf Anwendungsebene" gesendet.

Record Number: 5607
Source Name: Service Control Manager
Time Written: 20090727130544.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: **
Event Code: 7036
Message: Dienst "NLA (Network Location Awareness)" befindet sich jetzt im Status "Ausgeführt".

Record Number: 5606
Source Name: Service Control Manager
Time Written: 20090727130544.000000+120
Event Type: Informationen
User: 

Computer Name: **
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "NLA (Network Location Awareness)" gesendet.

Record Number: 5605
Source Name: Service Control Manager
Time Written: 20090727130544.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: **
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 5604
Source Name: EventLog
Time Written: 20090727130539.000000+120
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: **
Event Code: 701
Message: MsnMsgr (1272) Onlinedefragmentierung hat einen vollständigen Durchlauf der Datenbank '\\.\C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\miss.addicted@hotmail.de\SharingMetadata\Working\database_2EAC_3E0E_AC3D_D157\dfsr.db' abgeschlossen.

Record Number: 3161
Source Name: ESENT
Time Written: 20090902000114.000000+120
Event Type: Informationen
User: 

Computer Name: **
Event Code: 700
Message: MsnMsgr (1272) Onlinedefragmentierung hat einen vollständigen Durchlauf der Datenbank '\\.\C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\miss.addicted@hotmail.de\SharingMetadata\Working\database_2EAC_3E0E_AC3D_D157\dfsr.db' begonnen.

Record Number: 3160
Source Name: ESENT
Time Written: 20090902000113.000000+120
Event Type: Informationen
User: 

Computer Name: **
Event Code: 0
Message: 
Record Number: 3159
Source Name: gusvc
Time Written: 20090901133059.000000+120
Event Type: Informationen
User: 

Computer Name: **
Event Code: 0
Message: 
Record Number: 3158
Source Name: gusvc
Time Written: 20090901132959.000000+120
Event Type: Informationen
User: 

Computer Name: **
Event Code: 302
Message: MsnMsgr (1272) \\.\C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\miss.addicted@hotmail.de\SharingMetadata\Working\database_2EAC_3E0E_AC3D_D157\dfsr.db: Das Datenbankmodul hat erfolgreich die Schritte zur Wiederherstellung abgeschlossen.

Record Number: 3157
Source Name: ESENT
Time Written: 20090901132521.000000+120
Event Type: Informationen
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\QuickTime\QTSystem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 9 Stepping 5, GenuineIntel
"PROCESSOR_REVISION"=0905
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"CLASSPATH"=.;C:\Programme\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------

freakout · 05.09.2009, 15:18

zweiter Log:

Code:

ATTFilter

Logfile of random's system information tool 1.06 (written by random/random)
Run by ** at 2009-09-05 16:02:16
Microsoft Windows XP Professional Service Pack 2
System drive C: has 3 GB (34%) free of 10 GB
Total RAM: 511 MB (48% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:02:42, on 05.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\Desktop\RSIT.exe
C:\Programme\Trend Micro\HijackThis\**.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5420 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
RealPlayer Download and Record Plugin for Internet Explorer - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll [2009-04-02 312928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Programme\Java\jre6\bin\ssv.dll [2009-03-29 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Anmelde-Hilfsprogramm - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2007-09-20 328752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-07-25 256112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll [2009-07-25 761840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}]
Google Dictionary Compression sdch - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll [2009-07-25 458736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-03-29 34816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-03-29 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2009-07-25 256112]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ZCfgSvc.exe"=C:\WINDOWS\system32\ZCfgSvc.exe [2006-08-03 639040]
"PRONoMgr.exe"=C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe [2005-07-07 135168]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"=C:\Programme\Windows Live\Messenger\MsnMsgr.Exe [2007-10-18 5724184]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Sebring]
C:\WINDOWS\system32\LgNotify.dll [2006-08-03 188482]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Programme\Windows Live\Messenger\msnmsgr.exe"="C:\Programme\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Programme\Windows Live\Messenger\livecall.exe"="C:\Programme\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

======List of files/folders created in the last 1 months======

2009-09-05 16:02:16 ----D---- C:\rsit
2009-09-05 15:42:40 ----A---- C:\ComboFix.txt
2009-09-05 15:32:19 ----D---- C:\WINDOWS\temp
2009-09-05 14:15:40 ----A---- C:\Boot.bak
2009-09-05 14:15:29 ----RASHD---- C:\cmdcons
2009-09-05 14:13:50 ----A---- C:\WINDOWS\zip.exe
2009-09-05 14:13:50 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-09-05 14:13:50 ----A---- C:\WINDOWS\SWSC.exe
2009-09-05 14:13:50 ----A---- C:\WINDOWS\SWREG.exe
2009-09-05 14:13:50 ----A---- C:\WINDOWS\sed.exe
2009-09-05 14:13:50 ----A---- C:\WINDOWS\PEV.exe
2009-09-05 14:13:50 ----A---- C:\WINDOWS\NIRCMD.exe
2009-09-05 14:13:50 ----A---- C:\WINDOWS\grep.exe
2009-09-05 14:13:44 ----D---- C:\WINDOWS\ERDNT
2009-09-05 14:13:18 ----D---- C:\Qoobox
2009-09-03 22:53:08 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Malwarebytes
2009-09-03 22:52:58 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-03 22:52:57 ----D---- C:\Programme\Malwarebytes' Anti-Malware
2009-09-03 22:12:02 ----D---- C:\Programme\CCleaner
2009-09-03 19:15:56 ----D---- C:\Programme\PowerTools Lite
2009-09-03 18:44:28 ----D---- C:\Programme\Unlocker
2009-08-22 00:35:31 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Apple Computer
2009-08-22 00:34:53 ----A---- C:\WINDOWS\system32\GEARAspi.dll
2009-08-22 00:34:06 ----D---- C:\Programme\iPod
2009-08-22 00:33:09 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-08-22 00:33:08 ----D---- C:\Programme\iTunes
2009-08-22 00:30:17 ----D---- C:\Programme\QuickTime
2009-08-22 00:30:16 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-08-22 00:28:26 ----D---- C:\Programme\Gemeinsame Dateien\Apple
2009-08-22 00:28:26 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple

======List of files/folders modified in the last 1 months======

2009-09-05 15:48:35 ----RD---- C:\Programme
2009-09-05 15:42:43 ----D---- C:\WINDOWS\system32\drivers
2009-09-05 15:42:43 ----D---- C:\WINDOWS\system32
2009-09-05 15:41:46 ----SD---- C:\WINDOWS\Tasks
2009-09-05 15:39:59 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-05 15:36:02 ----D---- C:\WINDOWS
2009-09-05 15:36:02 ----A---- C:\WINDOWS\system.ini
2009-09-05 15:27:57 ----D---- C:\WINDOWS\AppPatch
2009-09-05 15:26:36 ----D---- C:\Programme\Gemeinsame Dateien
2009-09-05 15:17:26 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-05 15:14:14 ----SHD---- C:\WINDOWS\Installer
2009-09-05 15:13:02 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-09-05 14:15:40 ----RASH---- C:\boot.ini
2009-09-05 14:13:15 ----D---- C:\WINDOWS\Prefetch
2009-09-04 00:24:49 ----SD---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Microsoft
2009-09-03 19:23:01 ----D---- C:\WINDOWS\system32\LogFiles
2009-09-03 19:23:01 ----D---- C:\WINDOWS\Debug
2009-08-27 00:43:59 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\Audacity
2009-08-22 01:36:18 ----HD---- C:\WINDOWS\inf
2009-08-22 00:34:53 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-08-19 00:24:46 ----D---- C:\WINDOWS\system32\ReinstallBackups
2009-08-17 11:19:34 ----D---- C:\Dokumente und Einstellungen\**\Anwendungsdaten\gtk-2.0

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192]
R2 AegisP;AEGIS Protocol (IEEE 802.1x) v3.2.0.3; C:\WINDOWS\system32\DRIVERS\AegisP.sys [2009-07-28 17801]
R2 s24trans;WLAN-Transport; C:\WINDOWS\system32\DRIVERS\s24trans.sys [2006-08-03 10970]
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-08-22 98752]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2004-08-03 60800]
R3 catchme;catchme; \??\C:\cofi\catchme.sys []
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\System32\DRIVERS\CmBatt.sys [2004-08-03 14080]
R3 E1000;Intel(R) PRO/1000 Network Connection Driver; C:\WINDOWS\System32\DRIVERS\e1000325.sys [2007-06-05 171416]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2009-03-19 23400]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NeroCd2k;NeroCd2k; C:\WINDOWS\system32\drivers\NeroCd2k.sys [2001-04-16 44227]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2004-08-03 61824]
R3 sdbus;sdbus; C:\WINDOWS\System32\DRIVERS\sdbus.sys [2004-08-03 67584]
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2002-11-04 519168]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Microsoft USB-Standardhubtreiber; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]
R3 w70n51;Intel(R) PRO/Wireless 7100 Adaptertreiber für Windows XP; C:\WINDOWS\system32\DRIVERS\w70n51.sys [2006-07-13 674560]
S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys [2007-08-08 101120]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 NETGEAR_MA111;NETGEAR 802.11b MA111 Driver; C:\WINDOWS\system32\DRIVERS\MA111nd5.sys [2003-08-29 644608]
S3 PAC207;Trust WB-1400T Webcam; C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2007-05-14 508288]
S3 PCANDIS5;PCANDIS5 Protocol Driver; \??\C:\WINDOWS\system32\PCANDIS5.SYS []
S3 sffdisk;SFF-Speicherklassentreiber; C:\WINDOWS\system32\DRIVERS\sffdisk.sys [2004-08-03 11136]
S3 sffp_sd;SFF-Speicherprotokolltreiber für SDBus; C:\WINDOWS\system32\DRIVERS\sffp_sd.sys [2004-08-03 10240]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 streamip;BDA-IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2004-08-03 59264]
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 WpdUsb;WpdUsb; C:\WINDOWS\System32\Drivers\wpdusb.sys [2005-01-28 18944]
S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S3 YMIDUSB;Yamaha Corporation USB MIDI Driver; C:\WINDOWS\System32\Drivers\ymidusb.sys [2007-09-04 16768]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-07-09 144712]
R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-03-29 152984]
R2 RegSrvc;RegSrvc; C:\WINDOWS\system32\RegSrvc.exe [2006-08-03 122880]
R2 S24EventMonitor;Spectrum24 Event Monitor; C:\WINDOWS\system32\S24EvMon.exe [2006-08-03 426051]
R2 SoundMAX Agent Service (default);SoundMAX Agent Service; C:\Programme\Analog Devices\SoundMAX\SMAgent.exe [2002-07-15 45056]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
S2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe []
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-30 182768]
S3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2009-07-13 542496]
S3 NetSvc;Intel NCS NetService; C:\Programme\Intel\NCS\Sync\NetSvc.exe [2003-04-29 139264]
S3 usnjsvc;Messenger USN Journal Reader-Service für freigegebene Ordner; C:\Programme\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WLSetupSvc;Windows Live Setup Service; C:\Programme\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]

-----------------EOF-----------------

john.doe · 05.09.2009, 15:19

Bei Prevx auf Ja klicken.

ciao, andreas

Du hast hier Punkt 1-3 nicht ausgeführt. http://www.trojaner-board.de/462452-post7.html

freakout · 05.09.2009, 20:05

Ich hab jetzt die drei Schritte nachgeholt, wobei ich sagen muss, dass der KMPlayer nicht funktioniert hat und das mit dem SP3 auch irgendwie nicht hinhaut... Werd ich nach dem Scan nochmal probieren müssen.

Ist das normal, das der so lang braucht? Ich hab den schon seit mehreren Stunden laufen und erst 25% durch... knappe 110000 Dateien. Bisher wurden 13 infizierte Dateien und 77 Schwachstellen erkannt. Muss ich mir Sorgen machen?

john.doe · 05.09.2009, 20:13

Zitat:

KMPlayer nicht funktioniert hat

Lese ich das erste Mal. Bei mir läuft er vorzüglich. Der kann im Gegensatz zu VLC auch rmvb-Videos abspielen.

Zitat:

das mit dem SP3 auch irgendwie nicht hinhaut

Das holen wir nach.

Zitat:

Ist das normal, das der so lang braucht?

Ja.

Zitat:

Bisher wurden 13 infizierte Dateien und 77 Schwachstellen erkannt. Muss ich mir Sorgen machen?

Die Schwachstellen werden deine Sicherheitslücken durch nicht aktuell gepatchtes Windows sein. Bei den infizierten Dateien entscheidet, was er wo findet.

Teste, ob itunes noch funktioniert.

ciao, andreas

freakout · 05.09.2009, 20:40

Naja, er hat nicht direkt nicht funktioniert, er ließ sich nämlich nicht installieren. Ich bekomme die Meldung:

Zitat:

Installer integrity check has failed. Common causes include incomplede download and damaged media. Contact the installer's author ro obtain a new copy.

Ich versteh zwar nicht jedes Wort, aber das sagt mir das ich mit dieser Datei keine Chance hab

Scheint so als würde iTunes noch funktionieren, auch wenn ich anfangs die Fehlermeldung wegen Bonjour bekomme.

Liebe Grüße, freakout

john.doe · 05.09.2009, 20:47

Zitat:

Ich versteh zwar nicht jedes Wort, aber das sagt mir das ich mit dieser Datei keine Chance hab

Richtig. Du musst die nochmal runterladen. Nimm am Besten einen Downloadmanager wie http://www.flashget.com/en/download.htm

Da der Server gerade nicht erreichbar ist, kannst du auch einen Mirror nehmen => Flashget 2.0 in Download-Manager - Internet - Windows | Downloads | ZDNet.de

Zitat:

Scheint so als würde iTunes noch funktionieren, auch wenn ich anfangs die Fehlermeldung wegen Bonjour bekomme.

Falls die dich nervt, dann musst du itunes deinstallieren und nochmal installieren.

ciao, andreas

winlog.exe ist Backdoor.Agobot.LF?

Plagegeister aller Art und deren Bekämpfung: winlog.exe ist Backdoor.Agobot.LF?