Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: bak.exe (mit autorun auf usb-stick)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.01.2010, 21:51   #1
Attimus
 
bak.exe (mit autorun auf usb-stick) - Standard

bak.exe (mit autorun auf usb-stick)



Hallo
Ich habe mir heute in der Schule was eingefangen:
auf dem stick ist eine "autorun.inf" mit folgendem inhalt:
Code:
ATTFilter
[autorun[
:9
[autorun
;jmp9
open=tmp/bak.exe
:cmp
icon=%SystemRoot%\system32\SHELL32.dll,4

action=Open folder*to view files using*Windows*Explorer

shell\\\open\\\\\comMand=tmp/bak.exe

Shell\\\\explore\\\command=tmp/bak.exe
useautoplay=1
;???ø?y
[0000000F9  5B 41 75 74 6F 52 75 6E-5D]
;Ê?n?d?C?dsÏ?eÀ??Âzò

;fdSfs¤"!fdsAfs
         
diese "bak.exe" wird von meinem Virenscanner (antivir) nicht als gefährlich eingestuft, auf virustotal.com aber folgendes ergebnis:
h**p://www.virustotal.com/de/analisis/53559506d85dcd831a76fcfcc68b2a102960da9797d01c16f9b724aaa08b2286-1263414048
ein freund hat mir daraufhin combofix empfohlen, das hab ich mal durchlaufen lassen, hier der log:

Code:
ATTFilter
ComboFix 10-01-13.06 - User 13.01.2010  21:02:13.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.43.1031.18.2047.1534 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ActiveArmor Firewall *disabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\User\Anwendungsdaten\Desktopicon
c:\dokumente und einstellungen\User\Anwendungsdaten\Desktopicon\eBay.ico
c:\dokumente und einstellungen\User\Anwendungsdaten\Desktopicon\uninst.exe
c:\recycler\S-1-5-21-1270412988-3980248728-068360263-5068
c:\recycler\S-1-5-21-6368164752-8755239183-707246280-2096
c:\recycler\S-1-5-21-6368164752-8755239183-707246280-2096\Desktop.ini
c:\recycler\S-1-5-21-6368164752-8755239183-707246280-2096\mwau.exe
c:\windows\system32\twain_32.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2009-12-13 bis 2010-01-13  ))))))))))))))))))))))))))))))
.

2010-01-13 19:40 . 2010-01-13 19:44	--------	d-----w-	c:\programme\Unlocker
2010-01-13 19:30 . 2010-01-13 19:30	1791	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\.purple\certificates\x509\tls_peers\bos.oscar.aol.com
2010-01-13 19:30 . 2010-01-13 19:30	1505	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\.purple\certificates\x509\tls_peers\slogin.oscar.aol.com
2010-01-13 17:22 . 2010-01-13 17:22	1691	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\.purple\certificates\x509\tls_peers\api.screenname.aol.com
2010-01-13 17:18 . 2010-01-13 17:18	--------	d-----w-	c:\programme\Pidgin
2010-01-10 13:03 . 2010-01-10 13:03	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Installer540
2010-01-10 13:00 . 2010-01-10 13:00	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Installer384
2010-01-10 12:46 . 2010-01-10 12:46	--------	d-----w-	c:\programme\Programmer's Notepad
2010-01-10 12:42 . 2010-01-10 12:42	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2010-01-10 12:35 . 2010-01-10 12:35	--------	d-----w-	c:\programme\Gemeinsame Dateien\Macrovision Shared
2010-01-10 12:16 . 2007-11-05 14:35	424	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2\Profiles\hr7w0xgm.default\extensions\developer-tools@extensions.songbirdnest.com\chrome\dependencies\extensiondev\zip.bat
2010-01-10 12:16 . 2007-11-05 14:35	371	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2\Profiles\hr7w0xgm.default\extensions\developer-tools@extensions.songbirdnest.com\chrome\dependencies\extensiondev\winrar.bat
2010-01-10 12:16 . 2007-11-05 14:35	364	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2\Profiles\hr7w0xgm.default\extensions\developer-tools@extensions.songbirdnest.com\chrome\dependencies\extensiondev\wzcline.bat
2010-01-10 12:16 . 2007-11-05 14:35	339	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2\Profiles\hr7w0xgm.default\extensions\developer-tools@extensions.songbirdnest.com\chrome\dependencies\extensiondev\winzip.bat
2010-01-10 12:16 . 2007-11-05 14:35	376	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2\Profiles\hr7w0xgm.default\extensions\developer-tools@extensions.songbirdnest.com\chrome\dependencies\extensiondev\7zip.bat
2010-01-10 12:16 . 2007-11-05 14:35	340	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2\Profiles\hr7w0xgm.default\extensions\developer-tools@extensions.songbirdnest.com\chrome\dependencies\extensiondev\cygzip.bat
2010-01-08 19:20 . 2010-01-08 19:20	--------	d-----w-	c:\windows\system32\LogFiles
2010-01-08 19:06 . 2010-01-10 12:46	--------	d-----w-	c:\programme\Notepad++
2010-01-08 19:06 . 2010-01-10 12:46	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Notepad++
2010-01-07 13:54 . 2008-03-21 12:57	14640	------w-	c:\windows\system32\spmsgXP_2k3.dll
2010-01-07 13:53 . 2009-09-09 17:24	62424	----a-w-	c:\windows\system32\drivers\xusb21.sys
2010-01-07 13:53 . 2009-08-13 21:40	1112288	----a-w-	c:\windows\system32\WdfCoInstaller01007.dll
2010-01-07 13:05 . 2010-01-07 13:05	--------	d-----w-	c:\programme\XBCD
2010-01-06 22:42 . 2010-01-06 22:42	--------	d-----w-	c:\programme\FreeTime
2010-01-06 22:35 . 2010-01-07 14:24	--------	d-----w-	c:\programme\mp4UI
2010-01-06 14:03 . 2010-01-06 14:03	--------	d-----w-	c:\programme\BRL-CAD
2010-01-06 13:43 . 2010-01-06 13:43	--------	d-----w-	c:\programme\Xming
2010-01-06 13:36 . 2010-01-06 13:36	--------	d-----w-	c:\programme\IrfanView
2010-01-04 12:27 . 2010-01-04 12:27	11264	----a-r-	c:\dokumente und einstellungen\User\Anwendungsdaten\Microsoft\Installer\{98613C99-1399-416C-A07C-1EE1C585D872}\Icon98613C992.exe
2010-01-04 12:27 . 2010-01-04 12:27	--------	d-----w-	c:\programme\Seagate
2010-01-03 18:30 . 2010-01-03 18:30	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Help
2010-01-03 16:08 . 2010-01-03 16:08	--------	d-----w-	c:\programme\Creative
2009-12-30 14:58 . 2009-12-30 14:58	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\DivX
2009-12-30 11:10 . 2009-12-30 11:10	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Echo Software
2009-12-27 10:37 . 2009-12-27 10:37	--------	d-----w-	c:\programme\WinSCP
2009-12-27 09:39 . 2009-12-27 09:47	--------	d-----w-	c:\programme\BrAutomation
2009-12-26 23:31 . 2009-12-26 23:31	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Canneverbe_Limited
2009-12-26 23:31 . 2009-12-26 23:31	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
2009-12-26 23:31 . 2009-12-26 23:31	--------	d-----w-	c:\programme\CDBurnerXP
2009-12-26 23:31 . 2009-09-28 19:57	7168	----a-w-	c:\windows\system32\drivers\StarOpen.sys
2009-12-25 20:17 . 2009-12-25 20:17	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\LolClient.F24C99354F615F3BAB18AE7B93E3F9B9E8784FA6.1
2009-12-25 16:08 . 2009-12-25 16:09	38784	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-12-25 16:08 . 2009-12-25 16:09	38784	----a-w-	c:\dokumente und einstellungen\Default User\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-12-25 16:08 . 2009-12-25 16:10	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe AIR
2009-12-25 15:41 . 2010-01-09 15:01	--------	d-----w-	c:\programme\EAGLE-4.16r2
2009-12-25 15:40 . 1996-11-06 11:05	302592	----a-w-	c:\windows\unin0407.exe
2009-12-25 15:38 . 1997-04-08 19:08	299520	----a-w-	c:\windows\uninst.exe
2009-12-25 15:38 . 2009-12-25 15:38	--------	d-----w-	c:\dokumente und einstellungen\User\WINDOWS
2009-12-25 15:34 . 2010-01-06 21:43	--------	d-----w-	c:\programme\SharePod
2009-12-24 22:34 . 2009-12-24 22:34	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Blizzard Entertainment
2009-12-23 19:39 . 2009-11-14 00:49	120056	------w-	c:\windows\system32\pxcpyi64.exe
2009-12-23 19:39 . 2009-11-14 00:49	118520	------w-	c:\windows\system32\pxinsi64.exe
2009-12-23 19:34 . 2009-12-23 19:41	--------	d-----w-	c:\programme\Gemeinsame Dateien\DivX Shared
2009-12-23 19:34 . 2009-12-23 19:41	--------	d-----w-	c:\programme\DivX
2009-12-23 13:15 . 2009-12-23 13:15	--------	d-----w-	c:\programme\LTC
2009-12-23 12:52 . 2004-03-22 04:17	25840	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2009-12-23 12:52 . 2004-03-22 04:17	24816	----a-w-	c:\windows\system32\mdimon.dll
2009-12-23 12:52 . 2009-12-23 12:52	--------	d-----w-	c:\windows\SHELLNEW
2009-12-23 12:52 . 2009-12-23 12:52	--------	d-----w-	c:\programme\Microsoft.NET
2009-12-23 12:01 . 2009-12-27 09:35	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\dvdcss
2009-12-22 19:13 . 2009-05-03 23:23	177664	----a-w-	c:\windows\system32\unrar.dll
2009-12-22 19:13 . 2009-12-22 19:13	--------	d-----w-	c:\programme\Unrar Extract and Recover
2009-12-22 18:49 . 2009-12-22 18:49	--------	d-----w-	c:\programme\Intelore
2009-12-22 18:41 . 2009-12-22 18:41	--------	d-----w-	c:\programme\Youtube Downloader HD
2009-12-21 20:00 . 2010-01-06 23:08	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\vlc
2009-12-21 19:59 . 2009-12-21 19:59	--------	d-----w-	c:\programme\VideoLAN
2009-12-21 08:02 . 2009-12-21 08:14	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2009-12-20 16:41 . 2009-12-20 16:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard
2009-12-20 16:37 . 2009-12-20 22:44	--------	d-----w-	c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-12-20 15:20 . 2004-08-03 22:08	26496	-c--a-w-	c:\windows\system32\dllcache\usbstor.sys
2009-12-20 15:19 . 2009-06-16 02:08	569344	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2\Profiles\hr7w0xgm.default\extensions\mtp@songbirdnest.com\components\sbMTPWin32.dll
2009-12-20 15:19 . 2009-06-16 02:08	270336	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2\Profiles\hr7w0xgm.default\extensions\windowsmedia@songbirdnest.com\platform\WINNT_x86-msvc\components\sbWindowsMediacore.dll
2009-12-20 15:19 . 2009-06-16 02:08	106496	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2\Profiles\hr7w0xgm.default\extensions\quicktime@songbirdnest.com\platform\WINNT_x86-msvc\components\sbQuickTimeMediacore.dll
2009-12-20 15:17 . 2009-12-20 15:17	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Songbird2
2009-12-20 15:17 . 2009-12-20 15:17	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2
2009-12-20 15:17 . 2010-01-13 19:43	--------	d-----w-	c:\programme\Songbird
2009-12-19 18:58 . 2009-12-19 18:58	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\SharePod
2009-12-19 18:36 . 2009-12-19 18:37	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Apple Computer
2009-12-19 18:36 . 2009-12-19 18:36	--------	d-----w-	c:\programme\Bonjour
2009-12-19 18:36 . 2009-12-19 18:36	--------	d-----w-	c:\programme\QuickTime
2009-12-19 18:36 . 2009-12-19 18:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-12-19 18:36 . 2009-12-19 18:36	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Apple
2009-12-19 18:36 . 2009-12-19 18:36	--------	d-----w-	c:\programme\Apple Software Update
2009-12-19 18:36 . 2010-01-07 13:53	--------	dc----w-	c:\windows\system32\DRVSTORE
2009-12-19 18:36 . 2008-09-10 15:45	32000	----a-w-	c:\windows\system32\drivers\usbaapl.sys
2009-12-19 18:35 . 2009-12-19 18:36	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2009-12-19 18:35 . 2009-12-19 18:35	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-12-19 18:35 . 2009-12-19 18:36	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2009-12-19 17:58 . 2009-12-19 17:58	--------	d-----w-	c:\programme\WindSolutions
2009-12-19 17:58 . 2009-12-19 17:59	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\WindSolutions
2009-12-19 17:58 . 2009-12-19 17:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\WindSolutions
2009-12-19 12:03 . 2004-08-03 23:57	159232	----a-w-	c:\windows\system32\ptpusd.dll
2009-12-19 12:03 . 2001-08-18 03:54	5632	----a-w-	c:\windows\system32\ptpusb.dll
2009-12-19 12:03 . 2004-08-03 21:58	15104	-c--a-w-	c:\windows\system32\dllcache\usbscan.sys
2009-12-19 12:03 . 2004-08-03 21:58	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
2009-12-18 19:12 . 2009-11-25 10:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-12-18 19:12 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-12-18 19:12 . 2009-02-13 10:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-12-18 19:12 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-12-18 19:12 . 2009-12-18 19:12	--------	d-----w-	c:\programme\Avira
2009-12-18 19:12 . 2009-12-18 19:12	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-12-18 19:11 . 2009-12-18 19:11	--------	d-----w-	c:\programme\Gemeinsame Dateien\DirectX
2009-12-18 13:49 . 2010-01-10 12:44	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-12-18 13:42 . 2010-01-10 12:39	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2009-12-18 13:40 . 2010-01-10 00:54	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\gtk-2.0
2009-12-18 13:32 . 2009-12-18 13:32	--------	d-----w-	c:\programme\Guitar Pro 5
2009-12-17 22:00 . 2006-11-29 12:06	3426072	----a-w-	c:\windows\system32\d3dx9_32.dll
2009-12-17 22:00 . 2006-09-28 15:05	2414360	----a-w-	c:\windows\system32\d3dx9_31.dll
2009-12-17 22:00 . 2009-12-17 22:00	--------	d-----w-	c:\windows\Logs
2009-12-17 21:27 . 2010-01-13 20:03	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\.purple
2009-12-17 21:27 . 2009-12-17 21:27	--------	d-----w-	c:\programme\Gemeinsame Dateien\GTK
2009-12-17 16:34 . 2010-01-04 12:26	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-12-17 16:28 . 2009-12-17 16:28	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Opera
2009-12-17 16:27 . 2009-12-17 16:27	--------	d-----w-	c:\programme\Opera
2009-12-17 15:20 . 2009-12-17 15:20	--------	d-----w-	c:\windows\system32\Lang
2009-12-17 15:18 . 2009-12-17 15:18	--------	d-----w-	c:\windows\system32\RTCOM
2009-12-17 15:17 . 2009-12-17 16:34	--------	d-----w-	c:\programme\NVIDIA Corporation
2009-12-17 15:16 . 2005-09-28 10:10	466944	----a-w-	c:\windows\system32\CapabilityTable.exe
2009-12-17 15:16 . 2006-04-14 06:00	208896	------w-	c:\windows\system32\nvuide.exe
2009-12-17 15:16 . 2006-04-14 06:00	208896	----a-w-	c:\windows\system32\nvunrm.exe
2009-12-17 15:16 . 2006-02-17 03:28	101632	----a-w-	c:\windows\system32\drivers\nvtcp.sys
2009-12-17 15:16 . 2006-04-14 06:00	208896	----a-w-	c:\windows\system32\nvusmb.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-10 12:44 . 2009-12-17 12:45	18728	----a-w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-07 13:54 . 2010-01-07 13:54	0	---ha-w-	c:\windows\system32\drivers\Msft_Kernel_xusb21_01007.Wdf
2010-01-07 13:54 . 2010-01-07 13:54	0	---ha-w-	c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2010-01-03 16:09 . 2009-12-17 15:18	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-12-23 12:57 . 2009-12-23 12:57	--------	d--h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2009-12-19 18:57 . 2001-08-18 12:00	70580	----a-w-	c:\windows\system32\perfc007.dat
2009-12-19 18:57 . 2001-08-18 12:00	405118	----a-w-	c:\windows\system32\perfh007.dat
2009-12-19 12:03 . 2009-12-17 21:59	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Winamp
2009-12-17 22:02 . 2009-12-17 21:59	--------	d-----w-	c:\programme\Winamp
2009-12-17 21:59 . 2009-12-17 21:59	--------	d-----w-	c:\programme\Winamp Detect
2009-11-20 19:32 . 2009-11-20 19:32	278120	----a-w-	c:\windows\system32\nvmccs.dll
2009-11-19 20:42 . 2009-12-17 15:15	592488	----a-w-	c:\windows\system32\NVUNINST.EXE
2009-11-14 00:47 . 2009-11-14 00:47	90112	----a-w-	c:\windows\system32\dpl100.dll
2009-11-14 00:47 . 2009-11-14 00:47	856064	----a-w-	c:\windows\system32\divx_xx0c.dll
2009-11-14 00:47 . 2009-11-14 00:47	856064	----a-w-	c:\windows\system32\divx_xx07.dll
2009-11-14 00:47 . 2009-11-14 00:47	847872	----a-w-	c:\windows\system32\divx_xx0a.dll
2009-11-14 00:47 . 2009-11-14 00:47	843776	----a-w-	c:\windows\system32\divx_xx16.dll
2009-11-14 00:47 . 2009-11-14 00:47	839680	----a-w-	c:\windows\system32\divx_xx11.dll
2009-11-14 00:47 . 2009-11-14 00:47	696320	----a-w-	c:\windows\system32\DivX.dll
2009-11-03 11:39 . 2009-12-17 15:18	5940736	----a-w-	c:\windows\system32\drivers\RtkHDAud.sys
2009-11-02 10:53 . 2009-12-17 15:18	18782720	----a-w-	c:\windows\RTHDCPL.EXE
2009-11-02 05:48 . 2009-12-17 15:18	831488	----a-w-	c:\windows\RtlExUpd.dll
2009-10-23 10:53 . 2009-12-17 15:18	41984	----a-w-	c:\windows\system32\RtkCoInstXP.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WiseStubReboot"="MSIEXEC" [X]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nTrayFw"="c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2006-02-17 270336]
"RTHDCPL"="RTHDCPL.EXE" [2009-11-02 18782720]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-12-16 39424]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2009-10-26 15872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wscsvc"=2 (0x2)
"UPS"=3 (0x3)
"helpsvc"=2 (0x2)
"ERSvc"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Games\\LoL\\Riot Games\\League of Legends\\air\\LolClient.exe"=
"d:\\Games\\LoL\\Riot Games\\League of Legends\\game\\League of Legends.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8370:TCP"= 8370:TCP:League of Legends Launcher
"8370:UDP"= 8370:UDP:League of Legends Launcher

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.12.2009 20:12 108289]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [17.12.2009 16:18 1684736]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: %SYSTEMROOT%\system32\nvappfilter.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-nwiz - nwiz.exe
AddRemove-eBay Icon - c:\dokumente und einstellungen\User\Anwendungsdaten\Desktopicon\uninst.exe



**************************************************************************
Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(736)
c:\windows\system32\cscui.dll

- - - - - - - > 'lsass.exe'(796)
c:\windows\system32\nvappfilter.dll

- - - - - - - > 'explorer.exe'(3144)
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
c:\windows\system32\wdfmgr.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\wscntfy.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-13  21:07:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-01-13 20:07

Vor Suchlauf: 5 Verzeichnis(se), 42.713.550.848 Bytes frei
Nach Suchlauf: 6 Verzeichnis(se), 45.298.507.776 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /noguiboot

- - End Of File - - C3726FBFA123A337BA88B5023D3C0BC1
         
ich hoffe ihr könnt mir helfen

Alt 14.01.2010, 09:09   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
bak.exe (mit autorun auf usb-stick) - Standard

bak.exe (mit autorun auf usb-stick)



Hallo und

Ein Grund warum ich auf meinen Rechnern nur mit eingeschränkten Rechten arbeite und auf jedem Laufwerk diesen bescheuerten Autostart abdrehe

CF ist eigentlich nur auf explizite Anweisung hin auszuführen. Bitte nun diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 14.01.2010, 16:40   #3
Attimus
 
bak.exe (mit autorun auf usb-stick) - Standard

bak.exe (mit autorun auf usb-stick)



hi, hab alles abgearbeitet
combofix hat mir ja ein freund geraten... hier sind die ganzen logs:
logs.rar
__________________

Alt 14.01.2010, 19:26   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
bak.exe (mit autorun auf usb-stick) - Standard

bak.exe (mit autorun auf usb-stick)



Die Logs sehen sowit ok aus. Hast Du die autorun.inf und die schädliche Datei gelöscht, die automatisch aufgerufen werden soll wenn der Stick eingesteckt wird? Ist diese bak.exe im x:\tmp (x steht für für den Buchstaben Deinen Sticks)

Du hast auch nur das SP2 und IE6 drauf, unbedingt updaten!!!

Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update
Es geht v.a. ums SP3 und den IE8, auch wenn Du ihn nicht nutzt.


Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.

Auch auf einen aktuellen Flashplayer achten!!


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.01.2010, 20:02   #5
Attimus
 
bak.exe (mit autorun auf usb-stick) - Standard

bak.exe (mit autorun auf usb-stick)



danke! hat geklappt
vom system ist der übeltäter runter, vom usb-stick hab ich die dateien (3stück) mit linux gelöscht (vorher waren die files nach jedem löschen wieder da)

zu den sicherheitslücken: das system is noch nicht lange installiert und teilt sich die platte mit fedora (linux) und da ich sowieso am umsteigen bin hab ichs mit der pflege von windows nicht mehr so ernst genommen, weil ichs ja nurmehr für sachen brauche die unter linux nicht laufen.
wenn sich der virus noch länger geziert hätte, dann hätt ich auch einfach neu aufgesetzt...
aber jezt ist er ja weg

großes

mfg Simon


Antwort

Themen zu bak.exe (mit autorun auf usb-stick)
.dll, adobe, antivir, autorun, avg, avgnt.exe, combofix, components, desktop, downloader, einstellungen, excel, firewall, flash player, installation, league of legends, log, logon.exe, msiexec, neu, nvidia, opera.exe, programme, scan, sched.exe, shell32.dll, stick, suchlauf, udp, ups, virus, virustotal.com, windows, windows recovery, windows xp, winlogon.exe, youtube downloader



Ähnliche Themen: bak.exe (mit autorun auf usb-stick)


  1. Autorun.inf-Virus auf USB-Stick gemeldet
    Plagegeister aller Art und deren Bekämpfung - 21.04.2014 (22)
  2. Usb Stick Autorun .inf Wurm?
    Plagegeister aller Art und deren Bekämpfung - 18.01.2013 (1)
  3. autorun.inf auf USB-Stick; Flash Disinfector funktioniert scheinbar nicht!
    Plagegeister aller Art und deren Bekämpfung - 09.11.2011 (8)
  4. Antivir-Fund: (1) lpl.exe auf USB-Stick = WORM/Autorun.bqls (2) Prozess: ApplicationUpdater.exe
    Plagegeister aller Art und deren Bekämpfung - 18.02.2011 (51)
  5. autorun.inf Virus auf USB-Stick?
    Plagegeister aller Art und deren Bekämpfung - 13.01.2011 (6)
  6. DR/Autoit.XL.350 in Autorun.inf von USB-Stick
    Plagegeister aller Art und deren Bekämpfung - 28.11.2010 (5)
  7. TR/Crypt.XPACK.Gen3 und Gen2 mehrfach gefunden + Autorun.inf auf jedem USB Stick
    Plagegeister aller Art und deren Bekämpfung - 19.10.2010 (0)
  8. Verdächtige autorun.inf auf USB Stick
    Plagegeister aller Art und deren Bekämpfung - 06.09.2010 (2)
  9. Autorun blockiert C:\autorun.inf frisches System
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (6)
  10. USB Stick, autorun.inf, csrss.exe
    Plagegeister aller Art und deren Bekämpfung - 29.04.2010 (4)
  11. KLIZAVI/sapun.exe - autorun.inf auf USB-Stick entdeckt
    Plagegeister aller Art und deren Bekämpfung - 09.04.2010 (8)
  12. autorun.inf - TR/Autorun.SJ.1 Windows Vista
    Plagegeister aller Art und deren Bekämpfung - 04.01.2010 (1)
  13. TROJANER Flut! W32/Delf.EKEH, INI/AutoRun.CYI, WSCommCntr1.exe, BAT/Autorun.IZJ
    Plagegeister aller Art und deren Bekämpfung - 06.11.2009 (3)
  14. Autorun.inf auf usb Stick
    Plagegeister aller Art und deren Bekämpfung - 16.08.2009 (11)
  15. autorun.inf: Trojan.Autorun-271 FOUND - USB-Stick
    Log-Analyse und Auswertung - 11.03.2009 (1)
  16. autorun.inf Win32/Delf.NFB worm auf USB Stick
    Plagegeister aller Art und deren Bekämpfung - 03.03.2009 (2)
  17. Nach USB-Stick Gebrauch: Autorun.inf etc. HJT-Log bitte checken
    Log-Analyse und Auswertung - 23.01.2009 (3)

Zum Thema bak.exe (mit autorun auf usb-stick) - Hallo Ich habe mir heute in der Schule was eingefangen: auf dem stick ist eine "autorun.inf" mit folgendem inhalt: Code: Alles auswählen Aufklappen ATTFilter [autorun[ :9 [autorun ;jmp9 open=tmp/bak.exe :cmp - bak.exe (mit autorun auf usb-stick)...
Archiv
Du betrachtest: bak.exe (mit autorun auf usb-stick) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.