Trojaner-Board - Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden (https://www.trojaner-board.de/52036-antivir-laesst-mehr-starten-av-programme-unterbunden.html)

Antivir lässt sich nicht mehr starten und AV-Programme werden unterbunden

Hi ;)

folgendenes Problem plagt mich: AnitVir brachte eine Meldung über einen Trojaner, danach wurde der notifyer offenbar manipuliert und später lies sich AntiVir nicht mehr starten das es verändert wurde. Danach Kaspersky draufgemacht, welches durch den Virus/Trojaner anscheinend geblockt wird. Auch lässt sich an diesem PC z.B. auch nicht die Seite von Kaspersky aufmachen.

Ich danke euch ganz herzlich!

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:22:30, on 02.05.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Java\jre1.6.0_06\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Windows Live\Messenger\MsnMsgr.Exe

C:\PROGRA~1\ICQ6\ICQ.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Windows Live\Messenger\usnsvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\17ed0.exe

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\18a88.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
 

--

End of file - 5772 bytes

Hallo Gpoint und

http://www.mysmilie.de/generator/ablage/156/257.png

Dateien Online überprüfen lassen:

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\17ed0.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\18a88.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen.

du wirst es nicht glauben ... virustotal wird auch von dem trojaner abgeblockt. Deshalb habe ich die dateien auf einen Stick geladen und geh jetzt mal schnell an einen anderen pc

Zitat:

Zitat von Gpoint (Beitrag 336184)

du wirst es nicht glauben ... virustotal wird auch von dem trojaner abgeblockt. Deshalb habe ich die dateien auf einen Stick geladen und geh jetzt mal schnell an einen anderen pc

Sei aber blos vorischtig, nicht das du die Dateien noch ausversehen ausführst und den anderen Rechner auch noch infizierst.. ;)

also ich konnte jetzt nur eine datei durchjagen, danach hat antivir am anderen pc durchgedreht .. und für's hochladen wollte ich nicht unbedingt den anderen pc auch noch infizieren:

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

AhnLab-V3        2008.5.3.0        2008.05.02        -

AntiVir        7.8.0.11        2008.05.02        -

Authentium        4.93.8        2008.05.02        W32/Sality.AJ

Avast        4.8.1169.0        2008.05.02        Win32:Sality

AVG        7.5.0.516        2008.05.02        -

BitDefender        7.2        2008.05.02        Win32.Sality.NX

CAT-QuickHeal        9.50        2008.05.02        W32.Sality.T

ClamAV        0.92.1        2008.05.02        -

DrWeb        4.44.0.09170        2008.05.02        Win32.Sector.5

eSafe        7.0.15.0        2008.04.28        suspicious Trojan/Worm

eTrust-Vet        31.3.5753        2008.05.02        Win32/Sality.W

Ewido        4.0        2008.05.02        -

F-Prot        4.4.2.54        2008.05.02        W32/Sality.AJ

F-Secure        6.70.13260.0        2008.05.02        -

Fortinet        3.14.0.0        2008.05.02        -

Ikarus        T3.1.1.26        2008.05.02        -

Kaspersky        7.0.0.125        2008.05.02        -

McAfee        5286        2008.05.02        W32/Sality.ae

Microsoft        1.3408        2008.04.22        Virus:Win32/Sality.AM

NOD32v2        3071        2008.05.02        Win32/Sality.NAO

Norman        5.80.02        2008.04.30        W32/Sality.AA

Panda        9.0.0.4        2008.05.01        Suspicious file

Prevx1        V2        2008.05.02        Heuristic: Suspicious Self Modifying EXE

Rising        20.42.22.00        2008.04.30        -

Sophos        4.29.0        2008.05.02        W32/Sality-AM

Sunbelt        3.0.1097.0        2008.05.01        -

Symantec        10        2008.05.02        W32.Sality.AE

TheHacker        6.2.92.298        2008.04.30        -

VBA32        3.12.6.5        2008.05.02        suspected of Virus.Win32.Sality.2

VirusBuster        4.3.26:9        2008.05.02        Win32.Sality.AK

Webwasher-Gateway        6.6.2        2008.05.02        Win32.Malware.gen#UPX!92 (suspicious)

weitere Informationen

File size: 71680 bytes

MD5...: 0376d7c6d038b8bca3adef95deafd517

SHA1..: 8d6734777bf2be4a2dda3bf1c5dd0976559c1ee8

SHA256: 0232d355ed7b44830423b3a0f522e484b7b9bbc4fb663a6f576a4c64d6060136

SHA512: d9ea53e55b638ed6c8cf8a0fad5888a7172909d40b15ee7490cb8d1a8d42f162

9bb468f7966e765f25e01ca205df023d8fbe236e9dec721937acfd733f88a2d6

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x425f30

timedatestamp.....: 0x48034054 (Mon Apr 14 11:30:28 2008)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x1f000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0x20000 0x7000 0x6200 5.21 20a50ee434c8950ead29bbf8708bf97a

UPX2 0x27000 0xf000 0xe200 7.78 fdb201848c9d15b6f087693b5328e98c
 

( 0 imports )
 

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=BEB759A50031E96A189701F3080241003EA71DAA

hier noch von AntiVir die Ereignisse:

Code:

Exportierte Ereignisse:
 

02.05.2008 21:53 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\18a88.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Datei in Quarantäne verschieben
 

02.05.2008 21:53 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\18a88.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:53 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\18a88.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:53 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\392b31.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:53 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\54c27c.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:53 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\392b31.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:53 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\18a88.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:53 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\6f6015.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:53 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\18a88.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:52 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\1821b.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:52 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\54c27c.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:52 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\18567.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:52 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\1821b.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:52 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\392b31.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:52 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\190c1.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:52 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\54c27c.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:52 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\18a88.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:52 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\17ed0.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Agent.ncj' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:52 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\6f6015.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:52 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\6f6b9e.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:52 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\1f671.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:46 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\1f671.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:46 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\18567.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:46 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\1821b.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:46 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\392b31.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:46 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\190c1.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:46 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\54c27c.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:46 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\18a88.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:46 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\17ed0.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Agent.ncj' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:45 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\6f6015.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:45 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\6f6b9e.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:45 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\1f671.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 21:45 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\1d9453.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Datei in Quarantäne verschieben
 

02.05.2008 21:45 [Guard] Malware gefunden

      In der Datei 'H:\VIRUS !!!\1a1c9.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Datei in Quarantäne verschieben

Gut, das reicht mir erstmal. :daumenhoc

Starte nun das Combofix und arbeite die Anleitung ab.

So, ohne Probleme durchgelaufen

Code:

ComboFix 08-05-01.3 - Administrator 2008-05-02 22:02:59.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.710 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

        /wow section - STAGE 36

Das Handle ist ungültig.
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-04-02 bis 2008-05-02  ))))))))))))))))))))))))))))))

.
 

2008-05-02 21:01 . 2008-05-02 21:01        <DIR>        d--------        C:\kav

2008-05-02 19:23 . 2008-05-02 20:10        <DIR>        d--------        C:\Programme\Spybot - Search & Destroy

2008-05-02 19:23 . 2008-05-02 19:23        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2008-05-02 19:11 . 2008-05-02 19:11        <DIR>        d--------        C:\Programme\Trend Micro

2008-05-02 18:19 . 2008-05-02 18:35        <DIR>        d--------        C:\Programme\Tracktion2

2008-05-02 18:19 . 2008-05-02 18:40        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Tracktion

2008-05-02 18:19 . 2005-04-20 14:28        225,280        --a------        C:\WINDOWS\system32\ReWire.dll

2008-05-02 17:45 . 2004-08-03 23:08        26,496        --a--c---        C:\WINDOWS\system32\dllcache\usbstor.sys

2008-05-01 13:59 . 2008-05-01 13:59        <DIR>        d--------        C:\WINDOWS\Sun

2008-04-27 21:54 . 2008-04-27 21:54        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\.thumbnails

2008-04-27 21:52 . 2008-04-27 21:54        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gtk-2.0

2008-04-27 20:41 . 2008-04-27 20:41        <DIR>        d--------        C:\Programme\GIMP-2.0

2008-04-27 20:41 . 2008-04-27 21:55        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\.gimp-2.4

2008-04-27 12:32 . 2008-04-27 12:32        <DIR>        d--------        C:\Programme\IrfanView

2008-04-27 10:18 . 2007-07-30 19:19        271,224        --a------        C:\WINDOWS\system32\mucltui.dll

2008-04-27 10:18 . 2007-07-30 19:19        207,736        --a------        C:\WINDOWS\system32\muweb.dll

2008-04-27 10:18 . 2007-07-30 19:18        30,072        --a------        C:\WINDOWS\system32\mucltui.dll.mui

2008-04-26 21:54 . 2008-04-26 21:59        <DIR>        d--------        C:\Programme\ICQ6

2008-04-26 21:54 . 2008-04-26 21:58        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ

2008-04-26 21:46 . 2008-04-27 10:17        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Contacts

2008-04-26 21:30 . 2008-04-26 21:43        <DIR>        d--------        C:\Programme\Windows Live

2008-04-26 21:30 . 2008-04-26 21:43        <DIR>        d--hsc---        C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller

2008-04-26 21:30 . 2008-04-26 21:30        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller

2008-04-26 17:14 . 2008-04-26 17:14        <DIR>        d--------        C:\Programme\Apple Software Update

2008-04-22 14:32 . 2008-04-22 14:32        1,144        --a------        C:\WINDOWS\mozver.dat

2008-04-21 23:56 . 2008-04-21 23:56        <DIR>        d--h-----        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ

2008-04-21 23:56 . 2005-08-26 07:00        140,288        --a------        C:\WINDOWS\system32\CNMLM78.DLL

2008-04-21 23:56 . 2005-08-26 07:00        8,704        --a------        C:\WINDOWS\system32\CNMVS78.DLL

2008-04-21 23:54 . 2008-04-21 23:54        <DIR>        d--h-----        C:\BJPrinter

2008-04-21 23:54 . 2002-09-05 07:00        87,552        --a------        C:\WINDOWS\system32\CNMLM47.DLL

2008-04-21 23:54 . 2002-09-05 07:00        5,632        --a------        C:\WINDOWS\system32\CNMVS47.DLL

2008-04-21 23:52 . 2008-04-21 23:52        <DIR>        d--------        C:\Programme\FRITZ!Box

2008-04-21 23:52 . 2005-05-11 15:11        53,760        -ra------        C:\WINDOWS\system32\avmadd32.dll

2008-04-21 23:52 . 2005-04-26 17:57        16,896        -ra------        C:\WINDOWS\system32\avmprmon.dll

2008-04-21 21:40 . 2008-04-21 21:40        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Talkback

2008-04-21 21:39 . 2008-04-21 21:39        0        --a------        C:\WINDOWS\nsreg.dat

2008-04-21 21:27 . 2008-04-21 21:28        <DIR>        d--------        C:\Programme\JFritz

2008-04-21 21:27 . 2008-04-21 21:27        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\.jfritz

2008-04-21 21:27 . 2008-03-25 02:37        69,632        --a------        C:\WINDOWS\system32\javacpl.cpl

2008-04-21 21:26 . 2008-04-21 21:27        <DIR>        d--------        C:\Programme\Java

2008-04-21 21:24 . 2008-04-21 21:24        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Java

2008-04-21 21:03 . 2003-06-18 17:31        17,920        --a------        C:\WINDOWS\system32\mdimon.dll

2008-04-21 21:03 . 2008-04-21 21:03        400        --a------        C:\WINDOWS\ODBC.INI

2008-04-21 21:02 . 2008-04-21 21:02        <DIR>        d--------        C:\WINDOWS\SHELLNEW

2008-04-21 21:02 . 2008-04-21 21:02        <DIR>        d--------        C:\Programme\Microsoft.NET

2008-04-21 20:36 . 2008-04-21 20:36        <DIR>        d--------        C:\WINDOWS\usb-audio.deMindprintTrio

2008-04-21 20:35 . 2005-07-19 13:02        71,296        --a------        C:\WINDOWS\system32\drivers\MpUSBMd2.sys

2008-04-21 20:35 . 2005-07-19 13:00        23,520        --a------        C:\WINDOWS\system32\drivers\pgusbmm3.sys

2008-04-21 19:02 . 2008-04-21 19:02        <DIR>        d--------        C:\Programme\iTunes

2008-04-21 19:02 . 2008-04-21 19:02        <DIR>        d--------        C:\Programme\iPod

2008-04-21 19:02 . 2008-04-21 19:02        <DIR>        d--------        C:\Programme\Bonjour

2008-04-21 19:02 . 2008-04-21 19:02        <DIR>        d--------        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer

2008-04-21 19:02 . 2008-05-02 21:20        54,156        --ah-----        C:\WINDOWS\QTFont.qfn

2008-04-21 19:02 . 2008-04-21 19:02        1,409        --a------        C:\WINDOWS\QTFont.for

2008-04-21 19:01 . 2008-04-26 21:44        <DIR>        d----c---        C:\WINDOWS\system32\DRVSTORE

2008-04-21 19:01 . 2008-04-21 19:02        <DIR>        d--------        C:\Programme\QuickTime

2008-04-21 19:01 . 2008-04-21 19:01        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Apple

2008-04-21 19:01 . 2008-04-21 19:02        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer

2008-04-21 19:01 . 2008-04-21 19:01        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple

2008-04-21 14:45 . 2008-04-21 14:46        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Adobe

2008-04-21 14:38 . 2004-08-04 00:58        61,952        --a------        C:\WINDOWS\system32\kstvtune.ax

2008-04-21 14:37 . 2006-04-04 11:29        86,016        --a------        C:\WINDOWS\system32\drivers\878BDA.sys

2008-04-21 14:34 . 2008-05-02 21:15        292        --a------        C:\WINDOWS\system\cmicnfg.ini

2008-04-21 14:25 . 2008-04-21 14:25        <DIR>        d--------        C:\Programme\MSBuild

2008-04-21 14:22 . 2008-04-21 21:22        <DIR>        d--------        C:\WINDOWS\system32\XPSViewer

2008-04-21 14:21 . 2008-04-21 14:21        <DIR>        d--------        C:\Programme\Reference Assemblies

2008-04-21 14:18 . 2008-04-21 14:18        <DIR>        d--------        C:\Programme\CONEXANT

2008-04-21 13:59 . 2008-04-21 13:59        13,646        --a------        C:\WINDOWS\system32\wpa.bak

2008-04-21 13:41 . 2008-04-21 13:41        <DIR>        d--------        C:\Programme\NVIDIA Corporation

2008-04-21 13:41 . 2008-04-26 21:57        <DIR>        d--h-----        C:\Programme\InstallShield Installation Information

2008-04-21 13:41 . 2008-04-21 13:41        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\NVIDIA Shared

2008-04-21 13:40 . 2008-04-21 13:41        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\InstallShield

2008-04-21 13:39 . 2008-04-21 13:39        <DIR>        d--------        C:\NVIDIA

2008-04-21 13:36 . 2008-04-21 13:36        <DIR>        d--------        C:\Programme\Avira

2008-04-21 13:36 . 2008-05-02 19:31        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

2008-04-19 22:56 . 2008-03-01 14:53        63,488        -----c---        C:\WINDOWS\system32\dllcache\icardie.dll

2008-04-19 22:49 . 2008-04-19 22:49        <DIR>        d--------        C:\Programme\MSXML 6.0

2008-04-19 22:49 . 2008-04-19 22:49        <DIR>        d--------        C:\Programme\MSXML 4.0

2008-04-19 22:49 . 2008-03-01 14:53        6,066,176        -----c---        C:\WINDOWS\system32\dllcache\ieframe.dll

2008-04-19 22:49 . 2007-04-17 11:32        2,455,488        -----c---        C:\WINDOWS\system32\dllcache\ieapfltr.dat

2008-04-19 22:49 . 2007-03-08 07:09        1,040,384        -----c---        C:\WINDOWS\system32\dllcache\ieframe.dll.mui

2008-04-19 22:49 . 2008-03-01 14:53        459,264        -----c---        C:\WINDOWS\system32\dllcache\msfeeds.dll

2008-04-19 22:49 . 2008-03-01 14:53        383,488        -----c---        C:\WINDOWS\system32\dllcache\ieapfltr.dll

2008-04-19 22:49 . 2008-03-01 14:53        267,776        -----c---        C:\WINDOWS\system32\dllcache\iertutil.dll

2008-04-19 22:49 . 2008-03-01 14:53        52,224        -----c---        C:\WINDOWS\system32\dllcache\msfeedsbs.dll

2008-04-19 22:49 . 2008-02-22 12:00        13,824        -----c---        C:\WINDOWS\system32\dllcache\ieudinit.exe

2008-04-19 22:48 . 2008-04-19 21:55        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Default User\Vorlagen

2008-04-19 22:48 . 2008-04-19 22:48        <DIR>        dr-------        C:\Dokumente und Einstellungen\Default User\Startmenü

2008-04-19 22:48 . 2008-04-19 22:48        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung

2008-04-19 22:48 . 2008-04-19 22:48        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen

2008-04-19 22:48 . 2008-04-19 22:48        <DIR>        d--------        C:\Dokumente und Einstellungen\Default User\Favoriten

2008-04-19 22:48 . 2008-04-19 22:48        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Default User\Druckumgebung

2008-04-19 22:48 . 2008-04-19 22:48        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\Default User\Anwendungsdaten

2008-04-19 22:48 . 2008-04-19 22:48        <DIR>        d--h-----        C:\Dokumente und Einstellungen\All Users\Vorlagen

2008-04-19 22:48 . 2008-04-21 13:59        <DIR>        dr-------        C:\Dokumente und Einstellungen\All Users\Startmenü

2008-04-19 22:48 . 2008-04-19 22:48        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Favoriten

2008-04-19 22:48 . 2008-04-19 21:57        <DIR>        dr-------        C:\Dokumente und Einstellungen\All Users\Dokumente

2008-04-19 22:48 . 2008-05-02 21:18        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

2008-04-19 22:47 . 2008-04-19 21:59        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Default User

2008-04-19 22:47 . 2008-04-19 21:58        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users

2008-04-19 22:47 . 2008-04-19 22:08        <DIR>        d--------        C:\Dokumente und Einstellungen

2008-04-19 22:42 . 2008-04-19 22:42        <DIR>        d--------        C:\Programme\Windows Media Connect 2

2008-04-19 22:42 . 2006-10-18 22:47        1,661,440        ---------        C:\WINDOWS\system32\wmpencen.dll

2008-04-19 22:42 . 2006-10-18 22:47        613,376        ---------        C:\WINDOWS\system32\wmpmde.dll

2008-04-19 22:42 . 2006-10-18 22:47        295,936        ---------        C:\WINDOWS\system32\wmpeffects.dll

2008-04-19 22:42 . 2006-10-18 21:05        232,448        ---------        C:\WINDOWS\system32\l3codecp.acm

2008-04-19 22:42 . 2006-10-18 22:47        204,288        ---------        C:\WINDOWS\system32\wmpsrcwp.dll

2008-04-19 22:42 . 2006-10-18 22:47        130,048        ---------        C:\WINDOWS\system32\wmpps.dll

2008-04-19 22:42 . 2008-04-19 22:42        3        --a------        C:\WINDOWS\system32\EUupdate.installed

2008-04-19 22:33 . 2008-04-21 14:26        <DIR>        d--------        C:\WINDOWS\system32\de-de

2008-04-19 22:29 . 2006-10-31 12:26        36,864        -----c---        C:\WINDOWS\system32\dllcache\hidclass.sys

2008-04-19 22:25 . 2006-06-14 10:47        172,416        -----c---        C:\WINDOWS\system32\dllcache\kmixer.sys

2008-04-19 22:25 . 2006-06-14 11:00        82,944        -----c---        C:\WINDOWS\system32\dllcache\wdmaud.sys

2008-04-19 22:25 . 2006-11-08 10:51        62,336        ---------        C:\WINDOWS\system32\drivers\rspndr.sys

2008-04-19 22:25 . 2006-11-08 10:51        10,752        ---------        C:\WINDOWS\system32\rspndr.exe

2008-04-19 22:25 . 2006-06-14 10:47        6,400        -----c---        C:\WINDOWS\system32\dllcache\splitter.sys

2008-04-19 22:25 . 2008-04-19 22:25        3        --a------        C:\WINDOWS\system32\vbrun60sp6.installed

2008-04-19 22:22 . 2006-08-18 14:38        476,160        -----c---        C:\WINDOWS\system32\dllcache\wzcsvc.dll

2008-04-19 22:22 . 2006-08-18 14:38        52,736        -----c---        C:\WINDOWS\system32\dllcache\wzcsapi.dll

2008-04-19 22:22 . 2006-08-18 11:36        14,592        -----c---        C:\WINDOWS\system32\dllcache\ndisuio.sys

2008-04-19 22:21 . 2006-06-20 10:50        453,248        -----c---        C:\WINDOWS\system32\dllcache\mrxsmb.sys

2008-04-19 22:19 . 2008-04-19 22:19        3        --a------        C:\WINDOWS\system32\Wordpad-Converter-ZLib-update.installed

2008-04-19 22:18 . 2008-04-19 22:18        <DIR>        d--------        C:\WINDOWS\system32\de

2008-04-19 22:18 . 2006-03-17 02:38        28,672        ---------        C:\WINDOWS\system32\verclsid.exe

2008-04-19 22:17 . 2006-01-09 15:11        397,312        ---------        C:\WINDOWS\system32\mmcex.dll
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-19 19:59        ---------        d-----w        C:\Programme\microsoft frontpage

2008-04-19 19:58        ---------        d-----w        C:\Programme\Online-Dienste

2008-04-19 19:57        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Dienste

2008-03-20 08:03        1,845,376        ----a-w        C:\WINDOWS\system32\win32k.sys

2008-03-01 12:54        826,368        ----a-w        C:\WINDOWS\system32\wininet.dll

2008-02-20 06:50        282,624        ----a-w        C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:33        45,568        ----a-w        C:\WINDOWS\system32\dnsrslvr.dll

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

"ICQ"="C:\PROGRA~1\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]

"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [ ]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-06-03 20:51 245760]

"Cmaudio"="cmicnfg.cpl" []

"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 97136]

"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-03-28 23:37 471040]

"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

"C:\\Programme\\iTunes\\iTunes.exe"=

"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Programme\\ICQ6\\ICQ.exe"=

"D:\\Setup-Dateien\\Media\\De- bzw. Encoder\\Lame 2.97\\lame.exe"=

"C:\\WINDOWS\\Explorer.EXE"=

"C:\\Programme\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe"=

"C:\\WINDOWS\\system32\\userinit.exe"=

"C:\\WINDOWS\\system32\\CF19544.exe"=

"C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\28d965.exe"=

"C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\291c1b.exe"=

"C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\winfncqh.exe"=
 

R0 878BDA;DVB-TV 878 BDA Driver;C:\WINDOWS\system32\Drivers\878BDA.sys [2006-04-04 11:29]

R3 MPSTAMER;usb-audio.de driver for Mindprint Trio;C:\WINDOWS\system32\Drivers\MpUSBMd2.sys [2005-07-19 13:02]

R3 pgusbmme;usb-audio.de MME-Adapter;C:\WINDOWS\system32\drivers\pgusbmm3.sys [2005-07-19 13:00]

R3 WMI_MFC_TPSHOKER_80;WMI_MFC_TPSHOKER_80;C:\WINDOWS\system32\drivers\juhokp.sys []
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{07b18140-0e57-11dd-a70f-806d6172696f}]

\Shell\AutoRun\command - F:\setup.exe
 

*Newly Created Service* - CATCHME

.

Inhalt des "geplante Tasks" Ordners

"2008-04-26 15:14:51 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Programme\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************
 

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-02 22:04:02

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-05-02 22:08:59

ComboFix-quarantined-files.txt  2008-05-02 20:08:57
 

               7 Verzeichnis(se), 30,470,242,304 Bytes frei

              11 Verzeichnis(se), 31,605,473,280 Bytes frei
 

207        --- E O F ---        2008-04-27 19:06:17

Dateien Online überprüfen lassen:

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

lass auch die versteckten Dateien anzeigen!

Zitat:

C:\WINDOWS\system32\drivers\juhokp.sys
C:\\WINDOWS\\system32\\CF19544.exe"=
C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\28d965.exe
C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\291c1b.exe
C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\winfncqh.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

erst mal filelist, für das andere muss ich sofort wieder runter an den anderen pc

Code:

----- Root ----------------------------- 

 Datentr„ger in Laufwerk C: ist Win XP Pro

 Volumeseriennummer: 9816-A266
 

 Verzeichnis von C:\
 

02.05.2008  22:09            16.184 ComboFix.txt

02.05.2008  21:20     1.073.270.784 hiberfil.sys

02.05.2008  21:20     1.610.612.736 pagefile.sys

19.04.2008  21:59                 0 CONFIG.SYS

19.04.2008  21:59                 0 MSDOS.SYS

19.04.2008  21:59                 0 IO.SYS

19.04.2008  21:59                 0 AUTOEXEC.BAT

19.04.2008  21:54               211 boot.ini

04.08.2004  14:00           251.184 ntldr

04.08.2004  14:00            47.564 NTDETECT.COM

04.08.2004  14:00             4.952 bootfont.bin

              11 Datei(en)  2.684.203.615 Bytes

               0 Verzeichnis(se), 31.607.205.888 Bytes frei

 

----- System32 ------------------------- 

 Datentr„ger in Laufwerk C: ist Win XP Pro

 Volumeseriennummer: 9816-A266
 

 Verzeichnis von C:\WINDOWS\system32
 

02.05.2008  21:20            13.646 wpa.dbl

22.04.2008  13:47           435.760 perfh009.dat

22.04.2008  13:47            81.288 perfc007.dat

22.04.2008  13:47            68.404 perfc009.dat

22.04.2008  13:47           452.418 perfh007.dat

22.04.2008  13:47         1.044.740 PerfStringBackup.INI

21.04.2008  21:42           191.384 FNTCACHE.DAT

21.04.2008  21:27             6.684 jupdate-1.6.0_06-b02.log

21.04.2008  14:27           142.194 TZLog.log

21.04.2008  13:59            13.646 wpa.bak

19.04.2008  22:54                 0 h323log.txt

19.04.2008  22:42                 3 EUupdate.installed

19.04.2008  22:42            23.392 nscompat.tlb

19.04.2008  22:42            16.832 amcompat.tlb

19.04.2008  22:25                 3 vbrun60sp6.installed

19.04.2008  22:19                 3 Wordpad-Converter-ZLib-update.installed

19.04.2008  22:02               261 $winnt$.inf

19.04.2008  21:59             2.951 CONFIG.NT

19.04.2008  21:58               488 WindowsLogon.manifest

19.04.2008  21:58               488 logonui.exe.manifest

19.04.2008  21:58               749 wuaucpl.cpl.manifest

19.04.2008  21:58               749 sapi.cpl.manifest

19.04.2008  21:58               749 cdplayer.exe.manifest

19.04.2008  21:58               749 nwc.cpl.manifest

19.04.2008  21:58               749 ncpa.cpl.manifest

19.04.2008  21:56            21.740 emptyregdb.dat

05.04.2008  22:56        19.836.024 MRT.exe

28.03.2008  23:37            90.112 QuickTimeVR.qtx

28.03.2008  23:37            57.344 QuickTime.qts

            2006 Datei(en)    394.178.164 Bytes

               0 Verzeichnis(se), 31.607.078.912 Bytes frei

 

----- Prefetch ------------------------- 

 Datentr„ger in Laufwerk C: ist Win XP Pro

 Volumeseriennummer: 9816-A266
 

 Verzeichnis von C:\WINDOWS\Prefetch
 

02.05.2008  22:27            14.896 CMD.EXE-087B4001.pf

02.05.2008  22:27            40.404 RUNDLL32.EXE-28519980.pf

02.05.2008  22:26            15.684 VERCLSID.EXE-3667BD89.pf

02.05.2008  22:22            22.434 WUAUCLT.EXE-399A8E72.pf

02.05.2008  22:17            14.724 NOTEPAD.EXE-336351A9.pf

02.05.2008  22:17            12.612 REGEDT32.EXE-11878ACD.pf

02.05.2008  22:17            11.898 TELNET.EXE-24182D40.pf

02.05.2008  22:09            85.876 FIREFOX.EXE-1D57670A.pf

02.05.2008  22:09            11.440 WRITE.EXE-0CF1EFEF.pf

02.05.2008  22:09            41.864 IMAPI.EXE-0BF740A4.pf

02.05.2008  22:09           105.060 EXPLORER.EXE-082F38A9.pf

02.05.2008  22:09            15.732 REGEDIT.EXE-1B606482.pf

02.05.2008  22:08            10.912 FINDSTR.EXE-0CA6274B.pf

02.05.2008  22:05            30.084 WMIPRVSE.EXE-28F301A9.pf

02.05.2008  22:02             9.614 NIRCMD.CFEXE-02460B29.pf

02.05.2008  22:02             8.598 SWREG.CFEXE-287CC9EF.pf

02.05.2008  22:02             3.860 GREP.CFEXE-3924CAE1.pf

02.05.2008  22:02             8.342 SWXCACLS.CFEXE-24057B3B.pf

02.05.2008  22:02            16.852 NIRCMD.COM-223F42C3.pf

02.05.2008  22:02            16.322 RUNDLL32.EXE-36E71144.pf

02.05.2008  22:02            11.966 GRPCONV.EXE-111CD845.pf

02.05.2008  22:02            18.292 RUNONCE.EXE-2803F297.pf

02.05.2008  22:02            18.020 TASKMGR.EXE-20256C55.pf

02.05.2008  22:00            17.204 DEFRAG.EXE-273F131E.pf

02.05.2008  22:00            90.984 DFRGNTFS.EXE-269967DF.pf

02.05.2008  21:58           382.170 Layout.ini

02.05.2008  21:54             8.560 LOGON.SCR-151EFAEA.pf

02.05.2008  21:51            16.472 1D21D3.EXE-16F7DF81.pf

02.05.2008  21:51             9.948 1D1763.EXE-1A649A2A.pf

02.05.2008  21:40            12.162 RUNDLL32.EXE-451FC2C0.pf

02.05.2008  21:39            14.386 RUNDLL32.EXE-350DCA0E.pf

02.05.2008  21:23            67.562 WINWORD.EXE-3395695A.pf

02.05.2008  21:23            91.090 OUTLOOK.EXE-21C6162B.pf

02.05.2008  21:22             8.638 WINETSJK.EXE-15ACD131.pf

02.05.2008  21:22            51.638 HIJACKTHIS.EXE-39024128.pf

02.05.2008  21:21            16.868 18A88.EXE-2E5C34DB.pf

02.05.2008  21:21            10.452 17ED0.EXE-13E290BE.pf

02.05.2008  21:21            57.838 USNSVC.EXE-1CEFA315.pf

02.05.2008  21:19            18.894 WSCNTFY.EXE-1B24F5EB.pf

02.05.2008  21:18            53.050 NETCFG.EXE-2B86169A.pf

02.05.2008  21:18            70.728 AVP.EXE-26658326.pf

02.05.2008  21:18            48.916 MSIEXEC.EXE-2F8A8CAE.pf

02.05.2008  21:18             8.994 WINKSQQ.EXE-3735DD29.pf

02.05.2008  21:17            18.474 DRWTSN32.EXE-2B4B52AC.pf

02.05.2008  21:17            30.346 DWWIN.EXE-30875ADC.pf

02.05.2008  21:17            17.682 1A1C9.EXE-237C79C1.pf

02.05.2008  21:16            10.962 1821B.EXE-35D16C70.pf

02.05.2008  21:14            20.600 CONTROL.EXE-013DBFB5.pf

02.05.2008  21:14            59.192 RUNDLL32.EXE-1831A4F3.pf

02.05.2008  21:13            17.790 190C1.EXE-218B3931.pf

02.05.2008  21:13            10.608 18567.EXE-2DAF5F65.pf

02.05.2008  21:10            10.494 WINJOAN.EXE-34155442.pf

02.05.2008  21:09            17.998 6F6B9E.EXE-174A110D.pf

02.05.2008  21:09            11.340 6F6015.EXE-07567200.pf

02.05.2008  21:07            49.152 DUMPREP.EXE-1B46F901.pf

02.05.2008  21:06            20.386 SVCHOST.EXE-3530F672.pf

02.05.2008  21:01            12.794 SETUP.EXE-0357EBCD.pf

02.05.2008  21:01            13.124 KIS7.0.0.123DE.EXE-2B33DBF6.pf

02.05.2008  21:01            15.772 RUNDLL32.EXE-26F9EF68.pf

02.05.2008  21:01            21.678 RUNDLL32.EXE-188DF14E.pf

02.05.2008  21:01            14.394 RUNDLL32.EXE-172485BF.pf

02.05.2008  20:49            14.854 HJTINSTALL202.EXE-25C2EE5F.pf

02.05.2008  20:49            51.056 RUNDLL32.EXE-147710F4.pf

02.05.2008  20:39             9.040 54C27C.EXE-1AB051A9.pf

02.05.2008  20:39             8.254 54B686.EXE-16CC1DF8.pf

02.05.2008  20:33             8.260 WINJNIBTK.EXE-0BC1B368.pf

02.05.2008  20:09            10.186 392B31.EXE-09F89CC3.pf

02.05.2008  20:09             8.254 391FD7.EXE-36A96757.pf

02.05.2008  20:01            49.298 SPYBOTSD.EXE-1D495A65.pf

02.05.2008  20:00            17.766 DISTNOTED.EXE-39B306B0.pf

02.05.2008  20:00            66.632 APPLEMOBILEDEVICEHELPER.EXE-079D1945.pf

02.05.2008  20:00            99.738 ITUNES.EXE-15E88941.pf

02.05.2008  19:42            42.156 ANTIVIR_WORKSTATION8_WINU_DE_-0616E2F2.pf

02.05.2008  19:39            16.294 1D9453.EXE-30A63004.pf

02.05.2008  19:39             8.352 1D88AB.EXE-2694EFE8.pf

02.05.2008  19:31            16.752 RUNDLL32.EXE-20A8C272.pf

02.05.2008  19:31            16.906 RUNDLL32.EXE-37EEC05D.pf

02.05.2008  19:31            45.260 AVWSC.EXE-3AC95876.pf

02.05.2008  19:30            34.928 REGSVR32.EXE-25EEFE2F.pf

02.05.2008  19:30            28.716 SETUP.EXE-3151FF80.pf

02.05.2008  19:29            50.000 RUNDLL32.EXE-13404D23.pf

02.05.2008  19:26            21.982 RUNDLL32.EXE-20A96C8F.pf

02.05.2008  19:23            15.314 TEATIMER.EXE-38E505A8.pf

02.05.2008  19:23            20.652 SPYBOTSD_INCLUDES.EXE-32D88445.pf

02.05.2008  19:22            21.274 SPYBOTSD152.TMP-24D4BC98.pf

02.05.2008  19:22            14.936 SPYBOTSD152.EXE-24B5FB86.pf

02.05.2008  19:17            24.474 AVCENTER.EXE-324B1681.pf

02.05.2008  19:10             8.526 WINRMHX.EXE-0CFE22D7.pf

02.05.2008  19:09             8.414 1F671.EXE-08A87546.pf

02.05.2008  19:09            52.372 WGATRAY.EXE-0ED38BED.pf

02.05.2008  19:09            26.664 IPODSERVICE.EXE-233792DA.pf

02.05.2008  18:41            18.402 GUARDGUI.EXE-3AFB6D88.pf

02.05.2008  18:40            57.288 AVNOTIFY.EXE-0B59FC42.pf

02.05.2008  18:38            36.844 LAME.EXE-2910B50B.pf

02.05.2008  18:35            62.584 TRACKTION.EXE-21AD5731.pf

02.05.2008  18:18            20.506 IS-QB706.TMP-2E3A690F.pf

02.05.2008  18:18            14.706 TRACKTIONSETUP.EXE-35081EB7.pf

02.05.2008  18:16            56.890 ACRORD32INFO.EXE-19D979CC.pf

02.05.2008  18:01            17.020 RUNDLL32.EXE-337F7085.pf

02.05.2008  18:01            16.804 RUNDLL32.EXE-176E5CB6.pf

02.05.2008  17:45            59.460 RUNDLL32.EXE-180B1827.pf

02.05.2008  17:43            15.440 ALG.EXE-0F138680.pf

02.05.2008  10:08            19.456 ICQ.EXE-05B36B97.pf

02.05.2008  10:08            13.858 CTFMON.EXE-0E17969B.pf

02.05.2008  10:08            11.986 ITUNESHELPER.EXE-08906EB7.pf

02.05.2008  10:08            10.724 JUSCHED.EXE-17878C0C.pf

02.05.2008  10:08            18.020 RUNDLL32.EXE-18ACD379.pf

02.05.2008  10:08            75.640 MSNMSGR.EXE-3ACF7E89.pf

02.05.2008  10:08            12.258 READER_SL.EXE-1EA4C8B2.pf

02.05.2008  10:08            36.380 AVGNT.EXE-18356F59.pf

02.05.2008  10:08            52.408 USERINIT.EXE-30B18140.pf

02.05.2008  10:08            17.844 NVMIXERTRAY.EXE-1AD37042.pf

02.05.2008  10:08             8.112 QTTASK.EXE-2D7EEF34.pf

02.05.2008  10:08            70.826 UPDATE.EXE-3A80F1D2.pf

02.05.2008  10:08            16.714 PREUPD.EXE-18CBCD87.pf

01.05.2008  23:30            15.296 SETHC.EXE-0D6CE1BC.pf

01.05.2008  14:00            64.466 ACRORD32.EXE-153330F0.pf

01.05.2008  11:01            91.046 FIREFOX.EXE-17EE503B.pf

30.04.2008  16:19            49.010 ADOBEUPDATER.EXE-370FC314.pf

30.04.2008  16:10            32.844 WLLOGINPROXY.EXE-33926225.pf

30.04.2008  16:08            95.704 IEXPLORE.EXE-2CA9778D.pf

29.04.2008  22:20            70.632 HELPSVC.EXE-2878DDA2.pf

29.04.2008  20:43            31.334 HELPHOST.EXE-247D2792.pf

29.04.2008  20:43            68.668 HELPCTR.EXE-3862B6F5.pf

29.04.2008  19:36            24.656 I_VIEW32.EXE-0B6C3BA4.pf

29.04.2008  00:18            74.304 WMPLAYER.EXE-09969339.pf

27.04.2008  21:57           107.476 OUTLOOK.EXE-14C4968A.pf

27.04.2008  21:53            12.516 RUNDLL32.EXE-268BFF96.pf

21.04.2008  21:56           105.046 MSCORSVW.EXE-1BF30400.pf

19.04.2008  23:00           468.802 NTOSBOOT-B00DFAAD.pf

             130 Datei(en)      4.844.106 Bytes

               0 Verzeichnis(se), 31.607.095.296 Bytes frei

 

----- Windows -------------------------- 

 Datentr„ger in Laufwerk C: ist Win XP Pro

 Volumeseriennummer: 9816-A266
 

 Verzeichnis von C:\WINDOWS
 

02.05.2008  22:21           812.376 WindowsUpdate.log

02.05.2008  22:04               297 system.ini

02.05.2008  21:40           404.269 setupapi.log

02.05.2008  21:20            54.156 QTFont.qfn

02.05.2008  21:20                 0 0.log

02.05.2008  21:20             2.048 bootstat.dat

02.05.2008  21:19             7.606 SchedLgU.Txt

02.05.2008  18:42               806 wiadebug.log

02.05.2008  17:44                50 wiaservc.log

26.04.2008  21:44             6.240 DPINST.LOG

22.04.2008  14:32             1.144 mozver.dat

21.04.2008  23:53               250 accessdll.log

21.04.2008  23:52             1.907 avmadd32.log

21.04.2008  21:39                 0 nsreg.dat

21.04.2008  21:19            66.181 XpsEPSC.log

21.04.2008  21:19             8.101 XPSEPSCLP.log

21.04.2008  21:03               400 ODBC.INI

21.04.2008  21:03               603 win.ini

21.04.2008  19:02             1.409 QTFont.for

21.04.2008  14:28             9.657 WgaNotify.log

21.04.2008  14:27            47.591 tabletoc.log

21.04.2008  14:27           326.487 comsetup.log

21.04.2008  14:27            51.843 ocmsn.log

21.04.2008  14:27             1.374 imsins.log

21.04.2008  14:27         1.047.794 iis6.log

21.04.2008  14:27           430.516 tsoc.log

21.04.2008  14:27            32.130 KB942763.log

21.04.2008  14:27           195.879 ntdtcsetup.log

21.04.2008  14:27            64.811 MedCtrOC.log

21.04.2008  14:27           164.157 netfxocm.log

21.04.2008  14:27           449.216 ocgen.log

21.04.2008  14:27            46.912 msgsocm.log

21.04.2008  14:27           935.986 FaxSetup.log

21.04.2008  14:27           292.854 msmqinst.log

21.04.2008  14:27             1.374 imsins.BAK

21.04.2008  14:27             9.575 KB939683.log

21.04.2008  14:26            12.135 KB927891.log

21.04.2008  14:26            76.001 updspapi.log

21.04.2008  14:26            20.418 KB930916.log

21.04.2008  14:26             9.589 KB929399.log

21.04.2008  14:21             9.232 WIC.log

21.04.2008  13:59           922.258 setuplog.txt

21.04.2008  13:56             9.241 KB892130.log

21.04.2008  13:56            11.860 KB898461.log

19.04.2008  23:04            21.283 wmsetup.log

19.04.2008  22:59             7.146 spupdsvc.log

19.04.2008  22:57            44.954 KB947864-IE7.log

19.04.2008  22:51                 0 Sti_Trace.log

19.04.2008  22:50            27.533 KB938127-IE7.log

19.04.2008  22:50            36.507 KB937143-IE7.log

19.04.2008  22:49           288.366 msxml4-KB936181-deu.LOG

19.04.2008  22:48             1.348 regopt.log

19.04.2008  22:47                 0 setuperr.log

19.04.2008  22:45            19.400 KB928090-IE7.log

19.04.2008  22:42            15.609 wmp11.log

19.04.2008  22:42             6.419 KB926239.log

19.04.2008  22:41            25.970 WMFDist11.log

19.04.2008  22:41           316.640 WMSysPr9.prx

19.04.2008  22:34            15.831 ie7_main.log

19.04.2008  22:33           107.049 ie7.log

19.04.2008  22:32            50.600 IDNMitigationAPIs.log

19.04.2008  22:32            50.278 NLSDownlevelMapping.log

19.04.2008  22:32            52.558 KB915865.log

19.04.2008  22:20            32.222 KB893803v2.log

19.04.2008  22:08             1.174 OEWABLog.txt

19.04.2008  22:04            33.838 ModemLog_SoftV92 Data Fax Modem.txt

19.04.2008  22:03             8.192 REGLOCS.OLD

19.04.2008  22:02           194.710 setupact.log

19.04.2008  21:59                 0 control.ini

19.04.2008  21:59             4.161 ODBCINST.INI

19.04.2008  21:58               749 WindowsShell.Manifest

19.04.2008  21:57             1.023 sessmgr.setup.log

19.04.2008  21:56                37 vbaddin.ini

19.04.2008  21:56                36 vb.ini

19.04.2008  21:56               133 DtcInstall.log

19.04.2008  21:55               200 cmsetacl.log

             119 Datei(en)     13.555.133 Bytes

               0 Verzeichnis(se), 31.607.095.296 Bytes frei

 

----- Tasks ---------------------------- 

 Datentr„ger in Laufwerk C: ist Win XP Pro

 Volumeseriennummer: 9816-A266
 

 Verzeichnis von C:\WINDOWS\tasks
 

02.05.2008  21:20                 6 SA.DAT

26.04.2008  17:14               276 AppleSoftwareUpdate.job

04.08.2004  14:00                65 desktop.ini

               3 Datei(en)            347 Bytes

               0 Verzeichnis(se), 31.607.095.296 Bytes frei

 

----- Wintemp -------------------------- 

 Datentr„ger in Laufwerk C: ist Win XP Pro

 Volumeseriennummer: 9816-A266
 

 Verzeichnis von C:\WINDOWS\temp
 

 

----- Temp ----------------------------- 

 Datentr„ger in Laufwerk C: ist Win XP Pro

 Volumeseriennummer: 9816-A266
 

 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
 

02.05.2008  22:27           114.117 filelist.txt

02.05.2008  22:11            83.968 winroiotr.exe

02.05.2008  22:09            10.581 2dcb82.exe

02.05.2008  22:04            10.581 291c1b.exe

02.05.2008  22:04            26.624 28d965.exe

               5 Datei(en)        245.871 Bytes

               0 Verzeichnis(se), 31.607.095.296 Bytes frei

Also Folgendes:
Die Dateien

C:\WINDOWS\system32\drivers\juhokp.sys
C:\\WINDOWS\\system32\\CF19544.exe"=
und
C:\\DOKUME~1\\ADMINI~1\\LOKALE~1\\Temp\\winfncqh.e xe

existieren nicht mehr. Ich habe was da war auf den USB-Stick, aber AntiVir hat wieder Alarm geschlagen und das System wollte ich nicht infizieren.

Code:

Exportierte Ereignisse:
 

02.05.2008 22:43 [Guard] Malware gefunden

      In der Datei 'H:\virus -!!-\291c1b.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 22:42 [Guard] Malware gefunden

      In der Datei 'H:\virus -!!-\291c1b.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 22:42 [Guard] Malware gefunden

      In der Datei 'H:\virus -!!-\winroiotr.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 22:42 [Guard] Malware gefunden

      In der Datei 'H:\virus -!!-\winroiotr.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ULPM.Gen' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 22:42 [Guard] Malware gefunden

      In der Datei 'H:\virus -!!-\291c1b.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Stealer.L.1' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern
 

02.05.2008 22:42 [Guard] Malware gefunden

      In der Datei 'H:\virus -!!-\28d965.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Agent.ncj' [trojan] 

      gefunden.

      Ausgeführte Aktion: Zugriff verweigern

SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://swandog46.geekstogo.com/res/images/avenger.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Zitat:

Files to delete:
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\winroiotr.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\2dcb82.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\291c1b.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\28d965.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\winfncqh.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\17ed0.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\18a88.exe

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

Ich kann leider nicht in den Abgesicherten hochfahren. Dabei stürzt er mir immer ab

Dann versuche es vorerst mit dem nächsten Schritt, dem Avenger... ;)

so hier der avenger ... etwas ergänzt um dieses mutierende monstrum

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

File "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\1bc27.exe" deleted successfully.

File "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\13a35.exe" deleted successfully.

File "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\4961d3.exe" deleted successfully.

File "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\winjnnf.exe" deleted successfully.

File "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\winxudi.exe" deleted successfully.

File "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\3421b.exe" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

EDIT : Und im Verzeichnis C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ sind schon wieder neues Dateien mit diesen kryptischen Namen wie 13bdb.exe

Führe nun das Malwarebytes Antimalware aus und poste den Report.

Danach dann folgendes:

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen