| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Folgende Funde: TR/Kazy.11544, Trojan.Hiloti.Gen, TR/Dldr.CodecPack.ahan, TR/Crypt.ZPACK.Gen, etc.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
12.02.2011, 20:08
| #1 |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Folgende Funde: TR/Kazy.11544, Trojan.Hiloti.Gen, TR/Dldr.CodecPack.ahan, TR/Crypt.ZPACK.Gen, etc. Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
12.02.2011, 21:25
| #2 |
 | Folgende Funde: TR/Kazy.11544, Trojan.Hiloti.Gen, TR/Dldr.CodecPack.ahan, TR/Crypt.ZPACK.Gen, etc. Und weiter:
__________________Code:
ATTFilter ComboFix 11-02-12.01 - *** 12.02.2011 21:07:31.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.611 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\Cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\drivers\etc\lmhosts
c:\windows\system32\Thumbs.db
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
((((((((((((((((((((((( Dateien erstellt von 2011-01-12 bis 2011-02-12 ))))))))))))))))))))))))))))))
.
2011-02-12 18:54 . 2011-02-12 18:54 -------- d-----w- C:\_OTL
2011-02-12 14:08 . 2011-02-12 14:08 -------- d-----w- c:\windows\Internet Logs
2011-02-11 01:28 . 2011-02-11 01:28 -------- d-----w- c:\programme\7-Zip
2011-02-11 01:20 . 2011-02-11 01:20 -------- d-----w- c:\programme\CCleaner
2011-02-10 20:10 . 2011-02-10 20:10 -------- d-----w- c:\programme\VS Revo Group
2011-02-10 07:52 . 2011-02-10 07:53 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2011-02-10 07:51 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-10 07:51 . 2011-02-10 07:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-02-10 07:51 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-02-10 07:51 . 2011-02-10 07:51 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-01-21 14:44 . 2011-01-21 14:44 440832 ----a-w- c:\windows\system32\dllcache\shimgvw.dll
2011-01-14 18:09 . 2011-01-14 18:09 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2011-01-14 18:09 . 2011-01-14 18:09 -------- d-----r- c:\programme\Skype
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-12 20:15 . 2007-05-30 22:05 22528 ----a-w- c:\windows\system32\drivers\nhcDriver.sys
2011-01-21 14:44 . 2004-09-07 15:34 440832 ----a-w- c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2004-09-07 15:33 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-12-31 14:03 . 2004-09-07 15:34 1855104 ----a-w- c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2004-09-07 15:33 301568 ----a-w- c:\windows\system32\kerberos.dll
2010-12-21 16:24 . 2009-11-08 21:22 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-12-20 22:14 . 2004-09-07 15:34 672768 ----a-w- c:\windows\system32\wininet.dll
2010-12-20 22:14 . 2004-09-07 15:34 61952 ----a-w- c:\windows\system32\tdc.ocx
2010-12-20 22:14 . 2004-09-07 15:33 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-12-20 22:13 . 2004-09-07 15:33 371200 ----a-w- c:\windows\system32\html.iec
2010-12-20 17:25 . 2004-09-07 15:33 737792 ----a-w- c:\windows\system32\lsasrv.dll
2010-12-09 15:15 . 2004-09-07 15:33 743936 ----a-w- c:\windows\system32\ntdll.dll
2010-12-09 15:14 . 2004-09-07 15:33 2195072 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-12-09 15:13 . 2004-08-03 23:50 2071680 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-12-09 14:29 . 2004-09-07 15:33 33280 ----a-w- c:\windows\system32\csrsrv.dll
2010-11-24 23:33 . 2009-11-08 21:22 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2005-06-26 10:52 86016 ----a-w- c:\windows\system32\isign32.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KeePass Password Safe 2"="c:\programme\KeePass Password Safe 2\KeePass.exe" [2010-09-05 1655296]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-12-22 98394]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-12-22 688218]
"HControl"="c:\windows\ATK0100\HControl.exe" [2006-10-14 110592]
"NotebookHardwareControl"="c:\programme\Notebook Hardware Control\nhc.exe" [2007-05-04 2629632]
"IntelZeroConfig"="c:\programme\Intel\WiFi\bin\ZCfgSvc.exe" [2008-10-16 1368064]
"IntelWireless"="c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" [2008-10-16 1191936]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"KeePass 2 PreLoad"="c:\programme\KeePass Password Safe 2\KeePass.exe" [2010-09-05 1655296]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
2009-07-27 03:10 1983816 ----a-w- c:\programme\Canon\MyPrinter\BJMYPRT.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2010-09-16 20:04 1164584 ----a-w- c:\programme\DivX\DivX Update\DivXUpdate.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-11-17 19:59 421160 ----a-w- c:\programme\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 10:17 421888 ----a-w- c:\programme\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 15:07 2260480 --sha-r- c:\programme\Spybot - Search & Destroy\TeaTimer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-01-12 14:23 149280 ----a-w- c:\programme\Java\jre6\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"bgsvcgen"=2 (0x2)
"matlabserver"=2 (0x2)
"niSvcLoc"=2 (0x2)
"NILM License Manager"=3 (0x3)
"NIDomainService"=2 (0x2)
"lkTimeSync"=2 (0x2)
"lkClassAds"=2 (0x2)
"LkCitadelServer"=2 (0x2)
"HssTrayService"=3 (0x3)
"HssSrv"=2 (0x2)
"HotspotShieldService"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"BBDemon"=2 (0x2)
"NMSAccessU"=2 (0x2)
"Bonjour Service"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"NMSAccess"=2 (0x2)
"vsmon"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\PoivY\\PoivY.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 R592;R592;c:\windows\system32\drivers\R592.sys [15.10.2004 19:26 57088]
R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [15.10.2004 19:26 27264]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [30.05.2007 21:53 682232]
R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [11.07.2003 20:22 14912]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [08.11.2009 22:22 135336]
S3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\DRIVERS\ManyCam.sys --> c:\windows\system32\DRIVERS\ManyCam.sys [?]
S4 BBDemon;Backbone Service;"c:\programme\Dassault Systemes\CATIA\intel_a\code\bin\CATSysDemon.exe" -service --> c:\programme\Dassault Systemes\CATIA\intel_a\code\bin\CATSysDemon.exe [?]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\uzbg4c3r.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.bing.com/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=
FF - prefs.js: network.proxy.ftp - 207.62.217.252
FF - prefs.js: network.proxy.ftp_port - 3128
FF - prefs.js: network.proxy.gopher - 207.62.217.252
FF - prefs.js: network.proxy.gopher_port - 3128
FF - prefs.js: network.proxy.socks - 207.62.217.252
FF - prefs.js: network.proxy.socks_port - 3128
FF - prefs.js: network.proxy.ssl - 207.62.217.252
FF - prefs.js: network.proxy.ssl_port - 3128
FF - prefs.js: network.proxy.type - 0
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Noia 2.0 (eXtreme): {9f08cb5a-76b1-4bcf-aff9-90e1a5d60b1e} - %profile%\extensions\{9f08cb5a-76b1-4bcf-aff9-90e1a5d60b1e}
FF - Ext: Exif Viewer: exif_viewer@mozilla.doslash.org - %profile%\extensions\exif_viewer@mozilla.doslash.org
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Noia 2.0 eXtreme OPT: noia2_option@kk.noia - %profile%\extensions\noia2_option@kk.noia
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-CamSpace - c:\programme\CamSpace\CamSpaceAgent.exe
MSConfigStartUp-conhost - c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\conhost.exe
MSConfigStartUp-DataFinder - c:\programme\National Instruments\Shared\DataFinderDesktop\bin\DataFinder.exe
MSConfigStartUp-Steco - c:\windows\capedp2.dll
MSConfigStartUp-Wireless Console - c:\programme\ASUS\Wireless Console\wcourier.exe
MSConfigStartUp-Zshutdown - c:\sysprep\patch\sysprep.cmd
AddRemove-CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFA&SUBSYS_10431966 - c:\programme\CONEXANT\CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFA&SUBSYS_10431966\HXFSETUP.EXE -U -IHDAUDIO\FUNC_02&VEN_14F1&DEV_2BFA&SUBSYS_10431966
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-12 21:13
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(1316)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(2360)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\WiFi\bin\S24EvMon.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Intel\WiFi\bin\EvtEng.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
c:\windows\system32\wscntfy.exe
c:\windows\ATK0100\ATKOSD.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-02-12 21:17:53 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-02-12 20:17
Vor Suchlauf: 13 Verzeichnis(se), 36.933.015.040 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 36.840.724.992 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
- - End Of File - - 31F785DA608A7491D60D201F97CAD5D0
|
|
| Themen zu Folgende Funde: TR/Kazy.11544, Trojan.Hiloti.Gen, TR/Dldr.CodecPack.ahan, TR/Crypt.ZPACK.Gen, etc. |
| 0x00000001, alle programme, antivir, avgntflt.sys, avira, avira guard, bho, bonjour, cdburnerxp, converter, desktop, dllhost.exe, down, downloader, error, eudora, flash player, google, home, installation, internet, jdownloader, location, logfile, mp3, national, nt.dll, oldtimer, openvpn, otl.exe, plug-in, programm, prozess, realtek, registry, revo uninstaller, safer networking, saver, sched.exe, searchplugins, server, shortcut, software, sptd.sys, staropen, svchost.exe, system restore, versteckte objekte, verweise, virus gefunden, vlc media player, windows, youtube downloader |
Hybrid-Darstellung
