| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: /Winlogon/Taskman Trojaner ; cbssreg u.a.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.05.2010, 10:18
| #1 |
 |  /Winlogon/Taskman Trojaner ; cbssreg u.a. Hallo zusammen, bin gerade am Säubern eines Rechners und habe schon so einiges mit Avira's AV, Spybot SD, ComboFix und Malwarebytes erledigt. Allerdings habe ich erhebliche Zweifel, ob ich schon alles erwischt habe. Insbesondere der Taskman erscheint immer wieder im Autostart und möchte eine nichtvorhandene exe aus dem Papierkorb starten. Hier der Scan von Avira: Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 16. Mai 2010 14:29
Es wird nach 2118977 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : ***
Computername : **
Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:00:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 13:00:52
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 21:12:59
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 21:14:30
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 06:57:17
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 12:25:07
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 12:25:07
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 12:25:07
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 12:25:08
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 12:25:08
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 12:25:08
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 12:25:08
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 12:25:08
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 12:25:08
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 12:25:08
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 12:25:09
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 12:25:09
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 12:25:10
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 12:25:11
VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 12:25:11
VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 12:25:12
VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 12:25:13
VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 12:25:14
VBASE023.VDF : 7.10.7.100 125440 Bytes 13.05.2010 12:25:14
VBASE024.VDF : 7.10.7.101 2048 Bytes 13.05.2010 12:25:14
VBASE025.VDF : 7.10.7.102 2048 Bytes 13.05.2010 12:25:14
VBASE026.VDF : 7.10.7.103 2048 Bytes 13.05.2010 12:25:14
VBASE027.VDF : 7.10.7.104 2048 Bytes 13.05.2010 12:25:14
VBASE028.VDF : 7.10.7.105 2048 Bytes 13.05.2010 12:25:14
VBASE029.VDF : 7.10.7.106 2048 Bytes 13.05.2010 12:25:15
VBASE030.VDF : 7.10.7.107 2048 Bytes 13.05.2010 12:25:15
VBASE031.VDF : 7.10.7.111 68096 Bytes 14.05.2010 12:25:15
Engineversion : 8.2.1.242
AEVDF.DLL : 8.1.2.0 106868 Bytes 16.05.2010 12:25:27
AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 16.05.2010 12:25:27
AESCN.DLL : 8.1.6.1 127347 Bytes 16.05.2010 12:25:25
AESBX.DLL : 8.1.3.1 254324 Bytes 16.05.2010 12:25:27
AERDL.DLL : 8.1.4.6 541043 Bytes 16.05.2010 12:25:25
AEPACK.DLL : 8.2.1.1 426358 Bytes 23.03.2010 20:26:44
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 16.05.2010 12:25:24
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 16.05.2010 12:25:23
AEHELP.DLL : 8.1.11.3 242039 Bytes 05.04.2010 20:40:54
AEGEN.DLL : 8.1.3.9 377203 Bytes 16.05.2010 12:25:17
AEEMU.DLL : 8.1.2.0 393588 Bytes 16.05.2010 12:25:16
AECORE.DLL : 8.1.15.3 192886 Bytes 16.05.2010 12:25:16
AEBB.DLL : 8.1.1.0 53618 Bytes 16.05.2010 12:25:15
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PFS,
Beginn des Suchlaufs: Sonntag, 16. Mai 2010 14:29
Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\parseautoexec
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
[WARNUNG] Eine Exception wurde abgefangen!
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\parseautoexec
c:\dokume~1\***\lokale~1\temp\wpm1.tmp
c:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp
[HINWEIS] Der Prozess ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4fc24860.qua erstellt ( QUARANTÄNE )
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '100' Modul(e) wurden durchsucht
Durchsuche Prozess 'quotoupyr.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'quotoupyr.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'WPM1.tmp' - '10' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'WZCSLDR2.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess '81414.exe' - '24' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\81414.exe>
[FUND] Ist das Trojanische Pferd TR/Drop.Vidro.XR
[HINWEIS] Prozess '81414.exe' wurde beendet
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '057d32db.qua' verschoben!
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess '81414.exe' - '10' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\81414.exe>
[FUND] Ist das Trojanische Pferd TR/Drop.Vidro.XR
[HINWEIS] Prozess '81414.exe' wurde beendet
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei existiert nicht!
Durchsuche Prozess 'HPWuSchd2.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'HsMgr.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'htpatch.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '109' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'USBDLM.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'LckFldService.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '163' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '397' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:'
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20100516-142857-6F24D01A\ARK4.tmp
[FUND] Ist das Trojanische Pferd TR/Drop.Vidro.XR
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IYQNUY2C\31[1].exe
[FUND] Ist das Trojanische Pferd TR/Drop.Vidro.XR
Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IYQNUY2C\31[1].exe
[FUND] Ist das Trojanische Pferd TR/Drop.Vidro.XR
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '26a74c66.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20100516-142857-6F24D01A\ARK4.tmp
[FUND] Ist das Trojanische Pferd TR/Drop.Vidro.XR
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '59cc7e26.qua' verschoben!
Ende des Suchlaufs: Sonntag, 16. Mai 2010 16:20
Benötigte Zeit: 1:40:34 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
9073 Verzeichnisse wurden überprüft
383142 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
383138 Dateien ohne Befall
2537 Archive wurden durchsucht
2 Warnungen
4 Hinweise
425368 Objekte wurden beim Rootkitscan durchsucht
3 Versteckte Objekte wurden gefunden
Code:
ATTFilter ComboFix 10-05-15.03 - *** 16.05.2010 19:13:21.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1535.803 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Dokumente\Settings
c:\dokumente und einstellungen\All Users\Dokumente\Settings\cbss.dll
c:\dokumente und einstellungen\***\Anwendungsdaten\oabws.exe
c:\dokumente und einstellungen\***\ctfmon.exe
c:\windows\system32\chxd600870.exe
c:\windows\system32\ggwxc81o.exe
M:\autorun.inf
.
((((((((((((((((((((((( Dateien erstellt von 2010-04-16 bis 2010-05-16 ))))))))))))))))))))))))))))))
.
2010-05-16 17:04 . 2010-05-16 17:04 -------- d-----w- c:\programme\CCleaner
2010-05-16 12:23 . 2010-05-16 12:21 315904 ----a-w- c:\windows\system32\fookemmo.exe
2010-05-16 12:23 . 2010-05-16 12:23 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Avira
2010-05-16 12:21 . 2010-05-16 12:21 315904 ----a-w- c:\windows\system32\quiri.exe
2010-05-16 11:12 . 2010-05-16 17:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-16 11:12 . 2010-05-16 12:20 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-05-06 13:41 . 2010-05-06 13:41 -------- d-----w- c:\programme\ConTEXT
2010-05-06 13:34 . 2010-05-06 13:35 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\TransMemory_Secure
2010-05-06 13:34 . 2005-05-31 19:19 999424 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\TransMemory_Secure\TransMemory_Secure.exe
2010-05-05 16:01 . 2008-04-14 02:22 26624 ----a-w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-05-05 12:52 . 2010-05-05 12:52 -------- d-----w- c:\programme\Monitor Calibration Wizard
2010-05-03 09:05 . 2010-05-03 09:05 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-05-02 19:29 . 2010-05-02 19:29 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Amazon
2010-05-02 19:28 . 2010-05-02 19:28 -------- d-----w- c:\programme\Amazon
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-16 11:10 . 2006-04-23 11:06 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Lavasoft
2010-05-03 09:05 . 2008-03-09 14:45 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-03-28 20:51 . 2001-08-23 12:00 85530 ----a-w- c:\windows\system32\perfc007.dat
2010-03-28 20:51 . 2001-08-23 12:00 461976 ----a-w- c:\windows\system32\perfh007.dat
2010-03-26 14:46 . 2006-01-15 16:20 76488 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-03-23 20:26 . 2008-08-20 15:17 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\dvdcss
2010-03-15 19:40 . 2010-03-15 19:40 503808 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-7eeb8965-n\msvcp71.dll
2010-03-15 19:40 . 2010-03-15 19:40 499712 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-7eeb8965-n\jmc.dll
2010-03-15 19:40 . 2010-03-15 19:40 348160 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-7eeb8965-n\msvcr71.dll
2010-03-15 19:40 . 2010-03-15 19:40 61440 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-24ecc482-n\decora-sse.dll
2010-03-15 19:40 . 2010-03-15 19:40 12800 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-24ecc482-n\decora-d3d.dll
2010-03-10 15:00 . 2010-03-10 15:00 1 ----a-w- c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-10 06:15 . 2001-08-23 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-09 15:03 . 2010-03-09 14:55 31651 ----a-w- c:\windows\DIIUnin.dat
2010-03-09 14:55 . 2010-03-09 14:55 2829 ----a-w- c:\windows\DIIUnin.pif
2010-03-09 14:55 . 2010-03-09 14:55 102400 ----a-w- c:\windows\DIIUnin.exe
2010-03-01 08:05 . 2009-05-11 22:00 124784 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-02-25 06:15 . 2001-08-23 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2001-08-23 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-17 12:04 . 2001-08-23 12:00 2192256 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:04 . 2001-08-18 04:28 2069120 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-16 12:24 . 2009-05-11 22:00 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2006-06-10 12:51 . 2006-06-10 12:51 774144 ----a-w- c:\programme\RngInterstitial.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="c:\windows\htpatch.exe" [2002-10-30 28672]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"Cmaudio8788GX"="c:\windows\system\HsMgr.exe" [2008-07-11 200704]
"D-Link AirPlus G DWL-G510"="c:\programme\D-Link\AirPlus G DWL-G510\AirGCFG.exe" [2008-10-20 1556480]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
OpenOffice.org 3.2.lnk - d:\openoffice.org 3\program\quickstart.exe [2009-12-15 384000]
Verknpfung mit airplus_close.lnk - c:\dokumente und einstellungen\***\Eigene Dateien\Alex\airplus_close.vbs [2010-5-5 436]
c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
OpenOffice.org 3.2.lnk - d:\openoffice.org 3\program\quickstart.exe [2009-12-15 384000]
Verknpfung mit airplus_close.lnk - c:\dokumente und einstellungen\***\Eigene Dateien\Alex\airplus_close.vbs [2010-5-5 436]
c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
OpenOffice.org 3.2.lnk - d:\openoffice.org 3\program\quickstart.exe [2009-12-15 384000]
Verknpfung mit airplus_close.lnk - c:\dokumente und einstellungen\***\Eigene Dateien\Alex\airplus_close.vbs [2010-5-5 436]
c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
OpenOffice.org 3.2.lnk - d:\openoffice.org 3\program\quickstart.exe [2009-12-15 384000]
Verknpfung mit airplus_close.lnk - c:\dokumente und einstellungen\***\Eigene Dateien\Alex\airplus_close.vbs [2010-5-5 436]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2005-05-11 22:12 49152 ----a-w- c:\programme\HP\HP Software Update\hpwuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.05.2009 00:00 135336]
R2 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [05.01.2007 20:45 8768]
R2 USBDLM;USBDLM;c:\programme\USB Drive Manager\USBDLM\USBDLM.exe [28.11.2009 13:41 226304]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [03.10.2005 15:27 37568]
R3 cmudaxp;ASUS Xonar D1 Audio Interface;c:\windows\system32\drivers\cmudaxp.sys [28.08.2009 11:39 2029888]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [03.10.2005 15:27 444416]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\or0csrcn.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Real\RealArcade\Plugins\Mozilla\npracplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKU-Default-Run-ALUAlert - c:\programme\Symantec\LiveUpdate\ALUNotify.exe
MSConfigStartUp-awhmxo - c:\windows\system32\ggwxc81o.exe
MSConfigStartUp-xytzu6q - c:\windows\system32\chxd600870.exe
AddRemove-Folder Access 2.1 Free Version - c:\dokume~1\***\EIGENE~1\FOLDER~1\UNWISE.EXE
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-16 19:25
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\???/??[???????[???[???????????????????[???[?C?????[$??????[????????????S??[????????m??[???w????(???{??w???w???????w???w???[????????d???b6?[%??[???[????"??[A??[???[.??wZ??[?3?[?3?[????st.I???????[????d???0=?[?K?[
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(3216)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\LckFldService.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\RUNDLL32.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-05-16 19:29:28 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-05-16 17:29
Vor Suchlauf: 6.513.999.872 Bytes frei
Nach Suchlauf: 6.614.122.496 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
- - End Of File - - 0325D458B9366B8DB56FD7C071A65EF4
HTML-Code: GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-05-17 09:50:35
Windows 5.1.2600 Service Pack 3
Running: xl0jkyxq.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\axtdrpow.sys
---- System - GMER 1.0.15 ----
SSDT BA2C389E ZwCreateKey
SSDT BA2C3894 ZwCreateThread
SSDT BA2C38A3 ZwDeleteKey
SSDT BA2C38AD ZwDeleteValueKey
SSDT BA2C38B2 ZwLoadKey
SSDT BA2C3880 ZwOpenProcess
SSDT BA2C3885 ZwOpenThread
SSDT BA2C38BC ZwReplaceKey
SSDT BA2C38B7 ZwRestoreKey
SSDT BA2C38A8 ZwSetValueKey
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\DRIVERS\nv4_mini.sys section is writeable [0xB9214360, 0x372FAD, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xB721E300, 0x3ACC8, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xF77C7300, 0x1B7E, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\Explorer.EXE[144] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 02209000 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\Explorer.EXE[144] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 02208F20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\system32\wscntfy.exe[1200] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 10009000 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\system32\wscntfy.exe[1200] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 10008F20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Dokumente und Einstellungen\***\Eigene Dateien\downloads\xl0jkyxq.exe[1996] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 10009000 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Dokumente und Einstellungen\***\Eigene Dateien\downloads\xl0jkyxq.exe[1996] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 10008F20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\htpatch.exe[2752] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 009D9000 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\htpatch.exe[2752] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 009D8F20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2800] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 01779000 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\Avira\AntiVir Desktop\avgnt.exe[2800] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 01778F20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\system\HsMgr.exe[2808] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 10009000 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\WINDOWS\system\HsMgr.exe[2808] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 10008F20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe[2964] ole32.dll!CoCreateInstanceEx 774D0526 5 Bytes JMP 01109000 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
.text C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe[2964] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 01108F20 C:\WINDOWS\system\HsSrv.dll (HsSrv Dynamic Link Library/C-Media Electronics Inc.)
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Files - GMER 1.0.15 ----
File C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\berlin.pdf 132747 bytes
File C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Desktop.ini 77 bytes
File C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Drachenlanze.xls 18432 bytes
File C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\FolderAccess2.1FreeVersion.exe 4370610 bytes executable
File C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Geldgeschenk.doc 24576 bytes
File C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Konto.xls 15872 bytes
File C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Lebenslauf.doc 19968 bytes
File C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\story1.doc 28160 bytes
File C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Studium Kosten.xls 13824 bytes
File C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Tanken.xls 15360 bytes
File C:\Dokumente und Einstellungen\***\Eigene Dateien\privat.{21EC2020-3AEA-1069-A2DD-08002B30309D}\Thumbs.db 5120 bytes
---- EOF - GMER 1.0.15 ---- Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4108
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
17.05.2010 10:51:54
mbam-log-2010-05-17 (10-51-54).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 241055
Laufzeit: 44 Minute(n), 54 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Trojan.Agent) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Edit1: OTL-Scan angehangen. Edit 2: RSIT-Logs angehangen (sorry hab ich zu spät gesehen, dass man bei 32bit dieses nehmen soll). Für eure Hilfe wäre ich sehr dankbar!  LG Swordfish33 Geändert von Swordfish33 (17.05.2010 um 10:40 Uhr) |
| Themen zu /Winlogon/Taskman Trojaner ; cbssreg u.a. |
| 0 bytes, ?????, antivir, avira, combofix, desktop, desktop.ini, dllhost.exe, excel, exe, fehler, firefox, home, iexplore.exe, internet, jusched.exe, malwarebytes' anti-malware, mozilla, nicht gefunden, nt.dll, otl-scan, programm, prozess, prozesse, quelldatei, registry, richtlinie, rundll, scan, security, software, suchlauf, svchost.exe, trojaner, versteckte objekte, verweise, warnung, windows, windows recovery |
Baum-Darstellung