Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen

simagain · 18.12.2009, 15:25

Ich habe eine Xp boot Cd.

Leider geht combofix zurzeit nicht und ist nicht verfüg bar.

Soll ich warten bis es wieder verfügbar ist oder schon die anderen schritte druchgehen?

Chris4You · 18.12.2009, 21:14

Hi,

lasse Combofix erstmal weg und verfahre wie vorgeschlagen (mbr /f) und Dr. Web (der kann auch mit dem rootkit umgehen)...

CF ist wegen Problemen mit diesem netten Teil offline...

Die XP-CD brauchen wir, um gff. von der zu booten und die notwendigen Dateien von der CD auf den Rechner kopieren zu können (atapi.sys und svchost.exe)... Wenn Dr. Web nicht weiterkommt...

Poste auf jeden Fall den Log von Dr. Web...

chris

simagain · 21.12.2009, 22:25

Combofix log:

Code:

ATTFilter

ComboFix 09-12-20.08 - Simon 21.12.2009  21:46:13.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1701 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Simon\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert 
Kopie von - c:\windows\system32\dllcache\atapi.sys wurde wiederhergestellt 

Infizierte Kopie von c:\windows\system32\drivers\ndis.sys wurde gefunden und desinfiziert 
Kopie von - c:\windows\ServicePackFiles\i386\ndis.sys wurde wiederhergestellt
.
(((((((((((((((((((((((   Dateien erstellt von 2009-11-21 bis 2009-12-21  ))))))))))))))))))))))))))))))
.

2009-12-11 14:59 . 2009-12-11 14:59	--------	d-----w-	c:\windows\system32\config\systemprofile\Anwendungsdaten\Yahoo!
2009-12-09 14:16 . 2009-12-09 14:16	77312	----a-w-	c:\dokumente und einstellungen\Simon\mbr.exe
2009-12-07 20:44 . 2009-12-07 20:44	--------	d-----w-	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-07 20:44 . 2009-12-07 20:44	--------	d-----w-	c:\programme\DVDVideoSoft
2009-12-04 18:13 . 2009-12-04 18:13	--------	d-----w-	C:\rsit
2009-12-04 14:47 . 2009-12-03 15:14	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-04 14:47 . 2009-12-04 14:47	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-12-04 14:47 . 2009-12-03 15:13	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-02 13:12 . 2009-12-02 13:12	212224	-c--a-w-	c:\windows\system32\dllcache\ndis.sys
2009-12-02 13:09 . 2009-12-02 13:09	--------	d-----w-	c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\TouchStoneSoftware
2009-11-30 00:02 . 2008-10-21 18:22	276443	----a-w-	c:\windows\Scheduler.exe
2009-11-29 14:42 . 2009-11-29 14:42	--------	d-----w-	c:\programme\Phoenix Technologies
2009-11-29 14:20 . 2009-11-29 14:20	--------	d-----w-	c:\windows\system32\wbem\Repository
2009-11-27 15:48 . 2009-11-29 14:19	--------	d-----w-	c:\programme\Ontrack

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-21 21:09 . 2001-08-23 12:00	84326	----a-w-	c:\windows\system32\perfc007.dat
2009-12-21 21:09 . 2001-08-23 12:00	458822	----a-w-	c:\windows\system32\perfh007.dat
2009-12-21 20:39 . 2004-08-03 21:59	148768	----a-w-	c:\windows\system32\drivers\atapi.sys
2009-12-21 20:33 . 2009-03-08 14:35	--------	d-----w-	c:\programme\Trillian
2009-12-21 17:58 . 2009-03-08 14:43	--------	d-----w-	c:\programme\Steam
2009-12-19 15:39 . 2009-08-25 19:57	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Free Download Manager
2009-12-18 16:56 . 2009-03-08 15:42	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Skype
2009-12-18 16:29 . 2009-03-08 15:44	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\skypePM
2009-12-07 12:25 . 2009-12-01 17:26	79488	----a-w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-05 12:15 . 2009-10-25 18:43	--------	d-----w-	c:\programme\Trellian
2009-12-04 18:58 . 2009-03-08 11:45	--------	d-----w-	c:\programme\Opera
2009-12-03 20:42 . 2009-05-27 17:36	--------	d-----w-	c:\programme\Acoustica Mixcraft 4
2009-12-02 13:12 . 2004-08-03 22:14	212224	----a-w-	c:\windows\system32\drivers\ndis.sys
2009-12-02 13:12 . 2009-12-02 13:12	12	----a-w-	c:\windows\system32\config\systemprofile\Anwendungsdaten\hlusyf.dat
2009-12-02 13:11 . 2009-12-02 13:11	4	----a-w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\avdrn.dat
2009-12-01 22:05 . 2009-09-27 21:35	--------	d-----w-	c:\programme\VstPlugins
2009-11-27 15:48 . 2009-03-08 11:01	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-11-15 19:30 . 2009-11-13 18:36	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\PACE Anti-Piracy
2009-11-15 19:30 . 2009-11-13 18:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2009-11-13 18:36 . 2009-11-13 18:36	--------	d-----w-	c:\programme\Gemeinsame Dateien\PACE Anti-Piracy
2009-11-12 15:30 . 2009-11-12 14:58	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\LimeWire
2009-11-12 15:30 . 2009-11-12 14:58	--------	d-----w-	c:\programme\LimeWire
2009-11-11 19:20 . 2009-03-10 15:41	1	----a-w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-11-11 10:47 . 2009-10-17 14:25	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-11-02 13:34 . 2009-03-15 10:33	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Bioshock
2009-10-27 14:04 . 2009-10-27 14:04	--------	d-----w-	c:\programme\UnH Solutions
2009-10-27 13:55 . 2009-10-27 13:55	--------	d-----w-	c:\programme\QuickTime Alternative
2009-10-27 13:55 . 2009-09-22 20:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-10-25 18:46 . 2009-10-25 18:44	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Trellian
2009-09-27 21:36 . 2009-09-27 21:35	3828846	----a-w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\OpenCandy\maximus_install.exe
2009-05-01 21:02 . 2009-01-27 01:34	1044480	----a-w-	c:\programme\opera\program\plugins\libdivx.dll
2009-05-01 21:02 . 2009-01-27 01:34	200704	----a-w-	c:\programme\opera\program\plugins\ssldivx.dll
2009-03-15 23:57 . 2009-03-10 12:24	10289184	--sha-w-	c:\windows\system32\drivers\fidbox.dat
.

------- Sigcheck -------

[-] 2009-12-21 . C5A2E3829981F247116AD35359C90274 . 148768 . . [5.1.2600.5512] . . c:\windows\system32\drivers\atapi.sys
[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys
[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\atapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys

[-] 2009-12-02 . 1DF7F42665C94B825322FAE71721130D . 212224 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ndis.sys
[-] 2009-12-02 . 1DF7F42665C94B825322FAE71721130D . 212224 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\ndis.sys
[7] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ndis.sys
[-] 2004-08-03 . 1DF7F42665C94B825322FAE71721130D . 182912 . . [5.1.2600.5512] . . c:\windows\$NtServicePackUninstall$\ndis.sys
.
(((((((((((((((((((((((((((((   SnapShot@2009-12-09_13.19.38   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-21 21:02 . 2009-12-21 21:02	16384              c:\windows\Temp\Perflib_Perfdata_680.dat
+ 2004-08-03 23:57 . 2008-04-14 06:52	74752              c:\windows\system32\peyupnb.exe
+ 2001-08-23 12:00 . 2009-12-21 21:09	71060              c:\windows\system32\perfc009.dat
- 2001-08-23 12:00 . 2009-12-09 13:20	71060              c:\windows\system32\perfc009.dat
+ 2004-08-03 23:57 . 2009-02-09 10:51	18432              c:\windows\system32\drivers\zkmfnebp.sys
+ 2009-12-11 14:59 . 2009-12-11 14:59	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009121120091212\index.dat
+ 2009-03-08 10:58 . 2009-12-21 21:01	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2009-03-08 10:58 . 2009-12-09 13:09	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2009-12-11 14:59 . 2009-12-11 14:59	78924              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat
+ 2009-12-15 19:49 . 2009-12-15 19:49	16384              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\MSIMGSIZ.DAT
+ 2009-03-08 10:58 . 2009-12-21 21:01	32768              c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-12-11 15:19 . 2009-12-20 21:45	32768              c:\windows\system32\config\systemprofile\Anwendungsdaten\Microsoft\Internet Explorer\UserData\index.dat
- 2001-08-23 12:00 . 2009-12-09 13:20	441124              c:\windows\system32\perfh009.dat
+ 2001-08-23 12:00 . 2009-12-21 21:09	441124              c:\windows\system32\perfh009.dat
+ 2009-03-08 10:58 . 2009-12-21 21:01	114688              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Simon\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
Trillian.lnk - c:\programme\Trillian\trillian.exe [2008-11-26 1873280]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
forteManager.lnk - c:\programme\LG Soft India\forteManager\bin\Monitor.exe [2009-8-9 1134592]
PalTalk.lnk - c:\programme\Paltalk Messenger\paltalk.exe [2009-4-25 11057664]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\day of defeat source\\hl2.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\garrysmod\\hl2.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Paltalk Messenger\\paltalk.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\half-life 2 deathmatch\\hl2.exe"=
"c:\\Programme\\Free Download Manager\\fdm.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [08.03.2009 12:00 13696]
R3 LGDDCDevice;LGDDCDevice;c:\programme\LG Soft India\forteManager\bin\I2CDriver.sys [09.08.2009 01:33 14336]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [09.03.2009 23:16 4352]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [27.09.2009 14:00 1527900]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [09.03.2009 23:16 265088]
S3 LGII2CDevice;LGII2CDevice;c:\programme\LG Soft India\forteManager\bin\PII2CDriver.sys [09.08.2009 01:33 17408]
S3 PLCND532;PLCND532 NDIS Protocol Driver;c:\windows\system32\drivers\PLCND532.sys [14.12.2007 16:26 26656]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.schnellsucher.com/?t=Q0908251707&s=h
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
FF - ProfilePath - c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.schnellsucher.com/?t=Q0908251707&s=h
FF - prefs.js: network.proxy.type - 2
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-21 22:08
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 


c:\dokume~1\Simon\LOKALE~1\Temp\RGI3.tmp 7116 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe >>UNKNOWN [0x89DBE500]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb80ecf28
\Driver\ACPI -> ACPI.sys @ 0xb7f7ecb8
\Driver\atapi -> atapi.sys @ 0xb7f10852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS:  -> SendCompleteHandler -> 0x0
 PacketIndicateHandler -> 0x0
 SendHandler -> 0x0
user & kernel MBR OK 

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:c2,c7,d9,45,dc,f2,e5,38,4e,82,e6,88,e4,33,f7,ce,df,16,b0,10,f3,73,39,
   2c,23,fc,f6,69,14,25,dd,9f,f5,d5,63,25,d4,f0,39,61,a6,2f,06,c0,a6,81,b0,08,\
"??"=hex:aa,d3,ad,10,3e,21,e1,5a,ee,a5,d7,2f,8a,be,03,83

[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:97,1a,27,7a,9b,1c,72,6a,c6,27,e3,ad,42,b1,5a,95,df,65,d0,87,55,
   0e,4f,80,b2,9a,76,4e,56,e7,ec,ef,ab,af,94,54,29,2f,cb,95,71,1f,42,94,48,9f,\
"rkeysecu"=hex:3c,2e,31,50,70,cb,f4,7c,cd,47,02,0b,35,13,db,0c
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\avmwlanstick\WlanNetService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
c:\windows\system32\wscntfy.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-21  22:17:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-12-21 21:17
ComboFix2.txt  2009-12-09 13:29

Vor Suchlauf: 14 Verzeichnis(se), 21.767.196.672 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 24.585.228.288 Bytes frei

- - End Of File - - D646E8B6609C0B8E047725ED35C44483

mbam log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3292
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

04.12.2009 18:53:41
mbam-log-2009-12-04 (18-53-36).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 349429
Laufzeit: 2 hour(s), 29 minute(s), 54 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 50

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\updxsp32.exe (Trojan.Dropper) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\GodLib (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tcpsr (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vdettcq (Trojan.Agent.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run (Trojan.Agent) -> Data: c:\dokumente und einstellungen\simon\anwendungsdaten\adobe\manager.exe -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\Simon\lokale einstellungen\anwendungsdaten\vdettcq.exe (Trojan.Agent.H) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\updxsp32.exe (Trojan.Dropper) -> No action taken.
C:\rnkvgt.exe (Trojan.Dropper) -> No action taken.
C:\thgnclsp.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\ntuser.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Adobe\Manager.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\rundll32.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\u5el7.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\j72a986.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\~TMB4D.tmp (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\~TMB61.tmp (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\xum97.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\005.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\171.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\p6i8ot.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9VUQ4JYQ\mspcmnaao[1].htm (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9VUQ4JYQ\tmcerfsg[1].htm (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\tmcerfsg[1].htm (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\wpzzanosop[1].htm (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\eghqa[1].htm (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\mspcmnaao[1].htm (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KQLVRZV8\eghqa[1].htm (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KQLVRZV8\loaderadv563[1].exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KQLVRZV8\wpzzanosop[1].htm (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M28U4UM5\rkuresft[1].htm (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M28U4UM5\rkuresft[2].htm (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M28U4UM5\Xms[1].exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\ihaupd32.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\scandisk.dll (Trojan.Agent) -> No action taken.
C:\Programme\Super Fast Shutdown\shutdown.exe (HackTool.Shutdown) -> No action taken.
C:\RECYCLER\S-1-5-21-9408339212-7261285265-491933822-1687\wnzip32.exe (Worm.Autorun.B) -> No action taken.
C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP22\A0011771.exe (Adware.NaviPromo) -> No action taken.
C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP22\A0011774.exe (Adware.Casino) -> No action taken.
C:\WINDOWS\ccdrive32.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\ir6d8bwwy.dll (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\av_md.exe (Trojan.Inject) -> No action taken.
C:\WINDOWS\system32\i9q4v3n.dll (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\calc.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\av_md.exe (Trojan.Inject) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\ntuser.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\scandisk.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\~TMB5C.tmp (Trojan.Inject) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\scandisk.lnk (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\nsrbgxod.bak (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\reader_s.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\habnf88jkefh87ifiks.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\pskfo83wijf89uwuhal8.tmp (Trojan.Agent) -> No action taken.

Was hab ich da alles für Trojaner drauf? Oh gott ^^

Dr web cure it log folgt morgen, tut mir leid wegen der Verspätung.

Lg

Simon

simagain · 22.12.2009, 19:31

Drweb Cure it log:

Code:

ATTFilter

Google Cash Sniper. Full Crack Aug 09 .exe;C:\Dokumente und Einstellungen\Simon\Desktop;Trojan.DownLoad1.12826;Nicht desinfizierbar.Verschoben.;
restart.exe;C:\Programme\Super Fast Shutdown;Tool.ShutDown.14;;
atapi.sys.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
atapi.sys.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
ndis.sys.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers;BackDoor.Bulknet.417;Desinfiziert.;
A0042376.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP48;Tool.ShutDown.14;;
A0042785.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP50;Win32.HLLW.Lime.18;Gelöscht.;
A0042858.dll;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP50;Trojan.Proxy.10443;Gelöscht.;
A0042859.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP50;Win32.HLLW.Lime.18;Gelöscht.;
A0043378.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Trojan.DownLoad.47257;Gelöscht.;
A0043379.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Trojan.DownLoad.47257;Gelöscht.;
A0044527.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Trojan.DownLoad.47257;Gelöscht.;
A0044746.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Trojan.DownLoad.47257;Gelöscht.;
A0044755.bat;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Wahrscheinlich BATCH.Virus;;
A0046716.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.Winlock.598;Desinfiziert.;
A0046717.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.NtRootKit.4889;Gelöscht.;
A0047716.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.Winlock.598;Desinfiziert.;
A0047717.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.NtRootKit.4889;Gelöscht.;
A0047747.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.Winlock.598;Desinfiziert.;
A0047748.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.NtRootKit.4889;Gelöscht.;
A0047806.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.Winlock.598;Desinfiziert.;
A0047807.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.NtRootKit.4889;Gelöscht.;
A0047819.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.DownLoad.47257;Gelöscht.;
A0047850.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.DownLoad.47257;Gelöscht.;
A0047903.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.DownLoad.47257;Gelöscht.;
A0047909.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;BackDoor.Tdss.1365;Desinfiziert.;
A0047929.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;Trojan.DownLoad.47257;Gelöscht.;
A0049098.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;Trojan.DownLoad.47257;Gelöscht.;
A0049106.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;BackDoor.Tdss.1365;Desinfiziert.;
A0049114.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;BackDoor.Tdss.1365;Desinfiziert.;
A0049114.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;Trojan.DownLoad.47257;Gelöscht.;
A0049131.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;
A0049348.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;
A0049377.bat;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Wahrscheinlich BATCH.Virus;;
A0049474.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;
A0049605.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad1.16169;Nicht desinfizierbar.Verschoben.;
A0049606.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.Inject.6289;Gelöscht.;
A0049607.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;
A0049617.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;BackDoor.Tdss.1365;Desinfiziert.;
A0049617.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;
A0049618.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad1.12826;Nicht desinfizierbar.Verschoben.;
A0049639.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;BackDoor.Tdss.1365;Desinfiziert.;
A0049639.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;
atapi.sys;C:\WINDOWS\LastGood\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
atapi.sys;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
OLD5.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
OLD5.tmp;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
OLD8.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
OLD8.tmp;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
OLDB.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
OLDB.tmp;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
OLDE.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
OLDE.tmp;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;

Wie geht es nun weiter

lg Simon

simagain · 23.12.2009, 01:39

Hey,

Also DrWeb cure it hat nun einige wichtige Boot dateien verschoben denke ich.
Ich habe meinen Pc auf Anweisung von DrWeb heruntergefahren und wenn er nun hochfäht kommt er nur bis um Windows XP Zeichen, dann kommt ein blauer Bildschrim ein paar Zeilen laufen ab und er startet von neuem.
Im abgesichtertem Modus kann ich auch nciht booten.

Wie ersetze ich diese dateien?Soll ich nun von der Cd booten?

Schreibe nun vom Laptop aus.

Lg,

Simon

simagain · 23.12.2009, 15:50

Ich habe nun von der Xp Cd gebootet und bin in die Wiederherstellungskonsole gegangen.

Dort habe ich Bootfix fixmbr durchgeführt und nun läuft der computer wieder.

Wie geht es nun weiter?

Lg,

Simon

Chris4You · 23.12.2009, 18:13

Hi,

die atapi.sys wurde von Dr. Web gelöscht und konnte nicht ersetzt werden...
D.h. es waren nur verseuchte Versionen auf dem Rechner...
Wir müssen prüfen ob das jetzt Okay ist, daher nochmal combofix (der sollte wieder online sein. TDSS ist nicht so einfach tot zu kriegen...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.

chris
Ps. Denkste, er ist wieder down...
Lass noch mal Dr. Web laufen, ob er noch was in der atapi.sys findet, oder ob die durch Booten von der XP-CD automatisch ersetzt wurde. Sonst müssen wir sie von der CD runterkopiern, expandieren und in das richtige Verzeichnis kopieren...

simagain · 28.12.2009, 15:25

Dr Web Cure it Log:

Code:

ATTFilter

List-C.bat;C:\ComboFix;Wahrscheinlich BATCH.Virus;;
A0049652.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;BackDoor.Tdss.1365;Desinfiziert.;
A0049652.sys\data001;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56\A0049652.sys;BackDoor.Bulknet.408;;
A0049652.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Container enthält infizierte Objekte;Verschoben.;
A0049739.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP57;Tool.ShutDown.14;;
A0050589.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP57;BackDoor.Tdss.1365;Desinfiziert.;
A0050589.sys\data001;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP57\A0050589.sys;BackDoor.Bulknet.408;;
A0050589.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP57;Container enthält infizierte Objekte;Verschoben.;
ndis.sys;C:\WINDOWS\system32\dllcache;BackDoor.Bulknet.417;Desinfiziert.;
atapi.sys\data001;C:\WINDOWS\system32\drivers\atapi.sys;BackDoor.Bulknet.408;;
atapi.sys;C:\WINDOWS\system32\drivers;Container enthält infizierte Objekte;Verschoben.;
OLD6B.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
OLD6B.tmp\data001;C:\WINDOWS\system32\drivers\OLD6B.tmp;BackDoor.Bulknet.408;;
OLD6B.tmp;C:\WINDOWS\system32\drivers;Container enthält infizierte Objekte;Verschoben.;
OLD6E.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
OLD6E.tmp\data001;C:\WINDOWS\system32\drivers\OLD6E.tmp;BackDoor.Bulknet.408;;
OLD6E.tmp;C:\WINDOWS\system32\drivers;Container enthält infizierte Objekte;Verschoben.;

Ich musste "mit der letzten bekannten funktionierenden Konfiguration booten".

Chris4You · 28.12.2009, 15:41

Hi,

hmm, damit ist der Backdoor wieder aktiv (atapi.sys und ndis.sys sind systemdateien, die werden mitgesichert...), er hängt ausser im Bootblock noch in der ndis.sys und der atapi.sys....

Lass jetzt unbedingt mal combofix laufen (Log posten), der müsste jetzt wieder online sein.
Danach direkt neu booten und in die Rettungskonsole gehen und wieder fixmbr durchführen...

Dann noch mal CF laufen lassen&Log posten...

Wenn das nicht klappt, stellen wir die Dateien von Hand her...

chris

simagain · 28.12.2009, 15:44

Combofix log:

Code:

ATTFilter

ComboFix 09-12-27.03 - Simon 28.12.2009  15:32:57.3.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1479 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Simon\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Simon\Anwendungsdaten\avdrn.dat

.
(((((((((((((((((((((((   Dateien erstellt von 2009-11-28 bis 2009-12-28  ))))))))))))))))))))))))))))))
.

2009-12-23 10:19 . 2009-12-16 13:42	872960	----a-w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2009-12-23 10:19 . 2009-12-16 13:42	43008	----a-w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2009-12-23 10:19 . 2009-12-16 13:42	340480	----a-w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2009-12-23 10:19 . 2009-12-16 13:41	346624	----a-w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2009-12-22 16:43 . 2008-04-13 23:10	96512	-c--a-w-	c:\windows\system32\dllcache\atapi.sys
2009-12-22 16:43 . 2008-04-13 23:10	96512	----a-w-	c:\windows\system32\drivers\atapi.sys
2009-12-22 12:43 . 2009-12-22 12:59	214512	----a-w-	c:\windows\system32\drivers\dwshd.sys
2009-12-11 14:59 . 2009-12-11 14:59	--------	d-----w-	c:\windows\system32\config\systemprofile\Anwendungsdaten\Yahoo!
2009-12-09 14:16 . 2009-12-09 14:16	77312	----a-w-	c:\dokumente und einstellungen\Simon\mbr.exe
2009-12-07 20:44 . 2009-12-07 20:44	--------	d-----w-	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-07 20:44 . 2009-12-07 20:44	--------	d-----w-	c:\programme\DVDVideoSoft
2009-12-04 18:13 . 2009-12-04 18:13	--------	d-----w-	C:\rsit
2009-12-04 14:47 . 2009-12-03 15:14	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-04 14:47 . 2009-12-04 14:47	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-12-04 14:47 . 2009-12-03 15:13	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-02 13:12 . 2009-12-02 13:12	182656	-c----w-	c:\windows\system32\dllcache\ndis.sys
2009-12-02 13:09 . 2009-12-02 13:09	--------	d-----w-	c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\TouchStoneSoftware
2009-12-01 17:26 . 2009-12-07 12:25	79488	----a-w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-30 00:02 . 2008-10-21 18:22	276443	----a-w-	c:\windows\Scheduler.exe
2009-11-29 14:42 . 2009-11-29 14:42	--------	d-----w-	c:\programme\Phoenix Technologies
2009-11-29 14:20 . 2009-11-29 14:20	--------	d-----w-	c:\windows\system32\wbem\Repository

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 14:18 . 2009-08-25 19:57	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Free Download Manager
2009-12-28 13:38 . 2001-08-23 12:00	84326	----a-w-	c:\windows\system32\perfc007.dat
2009-12-28 13:38 . 2001-08-23 12:00	458822	----a-w-	c:\windows\system32\perfh007.dat
2009-12-28 03:27 . 2009-03-08 14:35	--------	d-----w-	c:\programme\Trillian
2009-12-28 00:49 . 2009-03-08 14:43	--------	d-----w-	c:\programme\Steam
2009-12-26 03:41 . 2009-03-08 15:42	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Skype
2009-12-26 01:39 . 2009-03-08 15:44	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\skypePM
2009-12-25 14:32 . 2009-04-14 13:45	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\dvdcss
2009-12-23 00:09 . 2009-03-26 21:00	--------	d-----w-	c:\programme\Super Fast Shutdown
2009-12-05 12:15 . 2009-10-25 18:43	--------	d-----w-	c:\programme\Trellian
2009-12-04 18:58 . 2009-03-08 11:45	--------	d-----w-	c:\programme\Opera
2009-12-03 20:42 . 2009-05-27 17:36	--------	d-----w-	c:\programme\Acoustica Mixcraft 4
2009-12-02 13:12 . 2004-08-03 22:14	182656	----a-w-	c:\windows\system32\drivers\ndis.sys
2009-12-02 13:12 . 2009-12-02 13:12	12	----a-w-	c:\windows\system32\config\systemprofile\Anwendungsdaten\hlusyf.dat
2009-12-01 22:05 . 2009-09-27 21:35	--------	d-----w-	c:\programme\VstPlugins
2009-11-29 14:19 . 2009-11-27 15:48	--------	d-----w-	c:\programme\Ontrack
2009-11-27 15:48 . 2009-03-08 11:01	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-11-15 19:30 . 2009-11-13 18:36	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\PACE Anti-Piracy
2009-11-15 19:30 . 2009-11-13 18:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2009-11-13 18:36 . 2009-11-13 18:36	--------	d-----w-	c:\programme\Gemeinsame Dateien\PACE Anti-Piracy
2009-11-12 15:30 . 2009-11-12 14:58	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\LimeWire
2009-11-12 15:30 . 2009-11-12 14:58	--------	d-----w-	c:\programme\LimeWire
2009-11-11 19:20 . 2009-03-10 15:41	1	----a-w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-11-11 10:47 . 2009-10-17 14:25	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-11-02 13:34 . 2009-03-15 10:33	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Bioshock
2009-05-01 21:02 . 2009-01-27 01:34	1044480	----a-w-	c:\programme\opera\program\plugins\libdivx.dll
2009-05-01 21:02 . 2009-01-27 01:34	200704	----a-w-	c:\programme\opera\program\plugins\ssldivx.dll
2009-03-15 23:57 . 2009-03-10 12:24	10289184	--sha-w-	c:\windows\system32\drivers\fidbox.dat
.

(((((((((((((((((((((((((((((   SnapShot@2009-12-09_13.19.38   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-28 13:34 . 2009-12-28 13:34	16384              c:\windows\Temp\Perflib_Perfdata_648.dat
+ 2004-08-03 23:57 . 2008-04-14 06:52	74752              c:\windows\system32\peyupnb.exe
+ 2001-08-23 12:00 . 2009-12-28 13:38	71060              c:\windows\system32\perfc009.dat
- 2001-08-23 12:00 . 2009-12-09 13:20	71060              c:\windows\system32\perfc009.dat
+ 2004-08-03 23:57 . 2009-02-09 10:51	18432              c:\windows\system32\drivers\zkmfnebp.sys
+ 2009-12-11 14:59 . 2009-12-11 14:59	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009121120091212\index.dat
+ 2009-03-08 10:58 . 2009-12-22 12:31	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2009-03-08 10:58 . 2009-12-09 13:09	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2009-12-11 14:59 . 2009-12-11 14:59	78924              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat
+ 2009-12-15 19:49 . 2009-12-15 19:49	16384              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\MSIMGSIZ.DAT
+ 2009-03-08 10:58 . 2009-12-22 12:31	32768              c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-12-11 15:19 . 2009-12-22 12:47	32768              c:\windows\system32\config\systemprofile\Anwendungsdaten\Microsoft\Internet Explorer\UserData\index.dat
- 2001-08-23 12:00 . 2009-12-09 13:20	441124              c:\windows\system32\perfh009.dat
+ 2001-08-23 12:00 . 2009-12-28 13:38	441124              c:\windows\system32\perfh009.dat
+ 2009-03-08 10:58 . 2009-12-22 12:31	114688              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Simon\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
Trillian.lnk - c:\programme\Trillian\trillian.exe [2008-11-26 1873280]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
forteManager.lnk - c:\programme\LG Soft India\forteManager\bin\Monitor.exe [2009-8-9 1134592]
PalTalk.lnk - c:\programme\Paltalk Messenger\paltalk.exe [2009-4-25 11057664]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\day of defeat source\\hl2.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\garrysmod\\hl2.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Paltalk Messenger\\paltalk.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\half-life 2 deathmatch\\hl2.exe"=
"c:\\Programme\\Free Download Manager\\fdm.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [08.03.2009 12:00 13696]
R3 LGDDCDevice;LGDDCDevice;c:\programme\LG Soft India\forteManager\bin\I2CDriver.sys [09.08.2009 01:33 14336]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [09.03.2009 23:16 4352]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [27.09.2009 14:00 1527900]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [09.03.2009 23:16 265088]
S3 LGII2CDevice;LGII2CDevice;c:\programme\LG Soft India\forteManager\bin\PII2CDriver.sys [09.08.2009 01:33 17408]
S3 PLCND532;PLCND532 NDIS Protocol Driver;c:\windows\system32\drivers\PLCND532.sys [14.12.2007 16:26 26656]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.schnellsucher.com/?t=Q0908251707&s=h
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
FF - ProfilePath - c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.schnellsucher.com/?t=Q0908251707&s=h
FF - prefs.js: network.proxy.type - 2
FF - component: c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-28 15:41
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:c2,c7,d9,45,dc,f2,e5,38,4e,82,e6,88,e4,33,f7,ce,df,16,b0,10,f3,73,39,
   2c,23,fc,f6,69,14,25,dd,9f,f5,d5,63,25,d4,f0,39,61,a6,2f,06,c0,a6,81,b0,08,\
"??"=hex:aa,d3,ad,10,3e,21,e1,5a,ee,a5,d7,2f,8a,be,03,83

[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:97,1a,27,7a,9b,1c,72,6a,c6,27,e3,ad,42,b1,5a,95,df,65,d0,87,55,
   0e,4f,80,b2,9a,76,4e,56,e7,ec,ef,ab,af,94,54,29,2f,cb,95,71,1f,42,94,48,9f,\
"rkeysecu"=hex:3c,2e,31,50,70,cb,f4,7c,cd,47,02,0b,35,13,db,0c
.
Zeit der Fertigstellung: 2009-12-28  15:43:18
ComboFix-quarantined-files.txt  2009-12-28 14:43
ComboFix2.txt  2009-12-21 21:17
ComboFix3.txt  2009-12-09 13:29

Vor Suchlauf: 14 Verzeichnis(se), 22.686.597.120 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 23.769.640.960 Bytes frei

- - End Of File - - 26B41C76692373F20EEFB59885FE78F2

boote nun neu

Chris4You · 28.12.2009, 15:59

Hi,

sieht ok aus...

chris

simagain · 28.12.2009, 16:00

Combofix nach boot und mbr log:

Code:

ATTFilter

ComboFix 09-12-27.03 - Simon 28.12.2009  15:48:24.4.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1547 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Simon\Desktop\ComboFix.exe
.

(((((((((((((((((((((((   Dateien erstellt von 2009-11-28 bis 2009-12-28  ))))))))))))))))))))))))))))))
.

2009-12-23 10:19 . 2009-12-16 13:42	872960	----a-w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2009-12-23 10:19 . 2009-12-16 13:42	43008	----a-w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2009-12-23 10:19 . 2009-12-16 13:42	340480	----a-w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2009-12-23 10:19 . 2009-12-16 13:41	346624	----a-w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2009-12-22 16:43 . 2008-04-13 23:10	96512	-c--a-w-	c:\windows\system32\dllcache\atapi.sys
2009-12-22 16:43 . 2008-04-13 23:10	96512	------w-	c:\windows\system32\drivers\atapi.sys
2009-12-22 12:43 . 2009-12-22 12:59	214512	----a-w-	c:\windows\system32\drivers\dwshd.sys
2009-12-11 14:59 . 2009-12-11 14:59	--------	d-----w-	c:\windows\system32\config\systemprofile\Anwendungsdaten\Yahoo!
2009-12-09 14:16 . 2009-12-09 14:16	77312	----a-w-	c:\dokumente und einstellungen\Simon\mbr.exe
2009-12-07 20:44 . 2009-12-07 20:44	--------	d-----w-	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-07 20:44 . 2009-12-07 20:44	--------	d-----w-	c:\programme\DVDVideoSoft
2009-12-04 18:13 . 2009-12-04 18:13	--------	d-----w-	C:\rsit
2009-12-04 14:47 . 2009-12-03 15:14	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-04 14:47 . 2009-12-04 14:47	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-12-04 14:47 . 2009-12-03 15:13	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-02 13:12 . 2009-12-02 13:12	182656	-c----w-	c:\windows\system32\dllcache\ndis.sys
2009-12-02 13:09 . 2009-12-02 13:09	--------	d-----w-	c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\TouchStoneSoftware
2009-12-01 17:26 . 2009-12-07 12:25	79488	----a-w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-30 00:02 . 2008-10-21 18:22	276443	----a-w-	c:\windows\Scheduler.exe
2009-11-29 14:42 . 2009-11-29 14:42	--------	d-----w-	c:\programme\Phoenix Technologies
2009-11-29 14:20 . 2009-11-29 14:20	--------	d-----w-	c:\windows\system32\wbem\Repository

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 14:50 . 2001-08-23 12:00	84326	----a-w-	c:\windows\system32\perfc007.dat
2009-12-28 14:50 . 2001-08-23 12:00	458822	----a-w-	c:\windows\system32\perfh007.dat
2009-12-28 14:18 . 2009-08-25 19:57	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Free Download Manager
2009-12-28 03:27 . 2009-03-08 14:35	--------	d-----w-	c:\programme\Trillian
2009-12-28 00:49 . 2009-03-08 14:43	--------	d-----w-	c:\programme\Steam
2009-12-26 03:41 . 2009-03-08 15:42	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Skype
2009-12-26 01:39 . 2009-03-08 15:44	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\skypePM
2009-12-25 14:32 . 2009-04-14 13:45	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\dvdcss
2009-12-23 00:09 . 2009-03-26 21:00	--------	d-----w-	c:\programme\Super Fast Shutdown
2009-12-05 12:15 . 2009-10-25 18:43	--------	d-----w-	c:\programme\Trellian
2009-12-04 18:58 . 2009-03-08 11:45	--------	d-----w-	c:\programme\Opera
2009-12-03 20:42 . 2009-05-27 17:36	--------	d-----w-	c:\programme\Acoustica Mixcraft 4
2009-12-02 13:12 . 2004-08-03 22:14	182656	------w-	c:\windows\system32\drivers\ndis.sys
2009-12-02 13:12 . 2009-12-02 13:12	12	----a-w-	c:\windows\system32\config\systemprofile\Anwendungsdaten\hlusyf.dat
2009-12-01 22:05 . 2009-09-27 21:35	--------	d-----w-	c:\programme\VstPlugins
2009-11-29 14:19 . 2009-11-27 15:48	--------	d-----w-	c:\programme\Ontrack
2009-11-27 15:48 . 2009-03-08 11:01	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-11-15 19:30 . 2009-11-13 18:36	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\PACE Anti-Piracy
2009-11-15 19:30 . 2009-11-13 18:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2009-11-13 18:36 . 2009-11-13 18:36	--------	d-----w-	c:\programme\Gemeinsame Dateien\PACE Anti-Piracy
2009-11-12 15:30 . 2009-11-12 14:58	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\LimeWire
2009-11-12 15:30 . 2009-11-12 14:58	--------	d-----w-	c:\programme\LimeWire
2009-11-11 19:20 . 2009-03-10 15:41	1	----a-w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-11-11 10:47 . 2009-10-17 14:25	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-11-02 13:34 . 2009-03-15 10:33	--------	d-----w-	c:\dokumente und einstellungen\Simon\Anwendungsdaten\Bioshock
2009-05-01 21:02 . 2009-01-27 01:34	1044480	----a-w-	c:\programme\opera\program\plugins\libdivx.dll
2009-05-01 21:02 . 2009-01-27 01:34	200704	----a-w-	c:\programme\opera\program\plugins\ssldivx.dll
2009-03-15 23:57 . 2009-03-10 12:24	10289184	--sha-w-	c:\windows\system32\drivers\fidbox.dat
.

(((((((((((((((((((((((((((((   SnapShot@2009-12-09_13.19.38   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-28 14:46 . 2009-12-28 14:46	16384              c:\windows\Temp\Perflib_Perfdata_638.dat
+ 2004-08-03 23:57 . 2008-04-14 06:52	74752              c:\windows\system32\peyupnb.exe
+ 2001-08-23 12:00 . 2009-12-28 14:50	71060              c:\windows\system32\perfc009.dat
- 2001-08-23 12:00 . 2009-12-09 13:20	71060              c:\windows\system32\perfc009.dat
+ 2004-08-03 23:57 . 2009-02-09 10:51	18432              c:\windows\system32\drivers\zkmfnebp.sys
+ 2009-12-11 14:59 . 2009-12-11 14:59	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009121120091212\index.dat
+ 2009-03-08 10:58 . 2009-12-22 12:31	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2009-03-08 10:58 . 2009-12-09 13:09	32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2009-12-11 14:59 . 2009-12-11 14:59	78924              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat
+ 2009-12-15 19:49 . 2009-12-15 19:49	16384              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\MSIMGSIZ.DAT
+ 2009-12-11 15:19 . 2009-12-22 12:47	32768              c:\windows\system32\config\systemprofile\Anwendungsdaten\Microsoft\Internet Explorer\UserData\index.dat
- 2001-08-23 12:00 . 2009-12-09 13:20	441124              c:\windows\system32\perfh009.dat
+ 2001-08-23 12:00 . 2009-12-28 14:50	441124              c:\windows\system32\perfh009.dat
+ 2009-03-08 10:58 . 2009-12-22 12:31	114688              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Simon\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
Trillian.lnk - c:\programme\Trillian\trillian.exe [2008-11-26 1873280]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
forteManager.lnk - c:\programme\LG Soft India\forteManager\bin\Monitor.exe [2009-8-9 1134592]
PalTalk.lnk - c:\programme\Paltalk Messenger\paltalk.exe [2009-4-25 11057664]

R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [08.03.2009 12:00 13696]
R3 LGDDCDevice;LGDDCDevice;c:\programme\LG Soft India\forteManager\bin\I2CDriver.sys [09.08.2009 01:33 14336]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [09.03.2009 23:16 4352]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [27.09.2009 14:00 1527900]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [09.03.2009 23:16 265088]
S3 LGII2CDevice;LGII2CDevice;c:\programme\LG Soft India\forteManager\bin\PII2CDriver.sys [09.08.2009 01:33 17408]
S3 PLCND532;PLCND532 NDIS Protocol Driver;c:\windows\system32\drivers\PLCND532.sys [14.12.2007 16:26 26656]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
ERSvc
FastUserSwitchingCompatibility
HidServ
LanmanServer
LanmanWorkstation
Messenger
Nla
NWCWorkstation
Schedule
Seclogon
SRService
Themes
TrkWks
W32Time
Wmi
WmdmPmSp
winmgmt
wscsvc
xmlprov
BITS
wuauserv
ShellHWDetection
helpsvc
napagent
hkmsvc
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.schnellsucher.com/?t=Q0908251707&s=h
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
FF - ProfilePath - c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.schnellsucher.com/?t=Q0908251707&s=h
FF - prefs.js: network.proxy.type - 2
FF - component: c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-28 15:55
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:c2,c7,d9,45,dc,f2,e5,38,4e,82,e6,88,e4,33,f7,ce,df,16,b0,10,f3,73,39,
   2c,23,fc,f6,69,14,25,dd,9f,f5,d5,63,25,d4,f0,39,61,a6,2f,06,c0,a6,81,b0,08,\
"??"=hex:aa,d3,ad,10,3e,21,e1,5a,ee,a5,d7,2f,8a,be,03,83

[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:97,1a,27,7a,9b,1c,72,6a,c6,27,e3,ad,42,b1,5a,95,df,65,d0,87,55,
   0e,4f,80,b2,9a,76,4e,56,e7,ec,ef,ab,af,94,54,29,2f,cb,95,71,1f,42,94,48,9f,\
"rkeysecu"=hex:3c,2e,31,50,70,cb,f4,7c,cd,47,02,0b,35,13,db,0c
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3624)
c:\programme\Trillian\events.dll
.
Zeit der Fertigstellung: 2009-12-28  15:56:50
ComboFix-quarantined-files.txt  2009-12-28 14:56
ComboFix2.txt  2009-12-28 14:43
ComboFix3.txt  2009-12-21 21:17
ComboFix4.txt  2009-12-09 13:29

Vor Suchlauf: 14 Verzeichnis(se), 23.779.790.848 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 23.742.775.296 Bytes frei

- - End Of File - - 11B6B500F29193B9B999753BADD701FD

Wo finde ich das mbr log jetz nachdem ich mbr /f ausgeführt habe?

nun hat combofix glaube ich garnichtsmehr gefunden?

Chris4You · 28.12.2009, 16:16

Ja, CF sieht gut aus...
In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;
Als letztes bitte noch mal GMER laufen lassen...:

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Mache auf jeden Fall den kompletten Rootkitscann...

chris

CoS · 08.01.2010, 03:29

Also laut Heisse sind derzeit einige unbekannte Attacken am laufen, die Leute mit Trojanern infizieren, die dann ihrerseits Spamprozesse nachladen. Mich hats ohne eigenes zutun kürzlich auch erwischt. In meinem Fall hat die "services.exe" den Spam versendet, also nicht die services.exe selbst, sondern ein an sie angeschlossener Treiber.

Schau doch mal in c:\windows\system32\drivers nach und lass Dir alle Dateien mal nach Datum anzeigen. Schau Dir dort den allerletzten Eintrag an. Ist dort eine sys Datei drin, die kürzlich angelegt wurde, ohne das Du einen Treiber o.ä. installiert hast (und die zudem einen völlig zufallsgenerierten Namen hat), dann weißt Du "was" bei Dir spammt ;-)

Das ganze rumdoktoren am Trojaner bringt nix, weil der eigentliche Spamprozess noch immer aktiv ist. Einfach mal auf Deine Internetverbindung im Task Manager achten, oder TCPView laden und schauen ob sich ein Prozess zu massig vielen Mailservern verbindet!

Ich denke die aktuelle Aktion die gerade abläuft, von der noch nichtmal heisse den Grund kennt (es ist nur bekannt, dass in letzter Zeit immer mehr Windowsrechner wie von Geisterhand beginnen Spam zu senden), wird noch eine riesen Sache!

Chris4You · 08.01.2010, 11:31

Hi,

danke für den Hinweis, CF zeigt deshalb veränderte Dateien an...
Der einzigst Treiber wäre (neben der "neuen" atapi.sys):
c:\windows\system32\drivers\dwshd.sys

Suchen wir doch mal in der Reg.:
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

dwshd.sys

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

Da sich der User allerdings länger nicht mehr gemeldet hat, gehe ich davon aus, dass sich das Problem erledigt hat...

chris

Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen

Log-Analyse und Auswertung: Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen