Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojanerfund(e) (https://www.trojaner-board.de/52597-trojanerfund-e.html)

Buergy 17.05.2008 21:16
Trojanerfund(e)
 
Guten Abend,

in den letzten Tagen ist mir aufgefallen, dass sich mehrmals täglich selbstständig irgendwelche Firefox-Tabs öffnen in denen irgendwelche Werbung geöffnet wird (genaueres kann ich nicht sagen, da ich es relativ schnell wieder weggeklickt habe). Habe auch keine "Gesetzmäßigkeit feststellen können, wann sie sich öffnen.

Habe heute Antivir durchlaufen lassen, und es wurden auch mehre Sachen gefunden:
Code:
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0080884.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.3648.1' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0080883.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0080887.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/PrivacySet.A' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0080886.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0080888.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/PrivacySet.A' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0081730.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0081729.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0080889.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.3648.1' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0081755.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0081737.sys'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0081761.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0082317.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0082325.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0082340.exe'
enthielt einen Virus oder unerwünschtes Programm 'DR/Monder.4255232' [dropper].
Die Datei 'C:\WINDOWS\system32\awyymynp.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/PrivacySet.A' [trojan].
Die Datei 'C:\WINDOWS\system32\crypts.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Downloader.Gen' [trojan].
Die Datei 'C:\WINDOWS\system32\ginqjhth.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.3648.1' [trojan].
Die Datei 'C:\WINDOWS\system32\rqrleuml.dll.ren'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Die Datei 'C:\WINDOWS\system32\WinNt32.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Die Datei 'C:\WINDOWS\Temp\CEE3.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Patched.BR.20' [trojan].
Die Datei 'C:\WINDOWS\Temp\D783.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Patched.BR.20' [trojan].
HiJackThis habe ich danach auch laufen lassen:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:03:57, on 17/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\program files\avira\antivir personaledition classic\avcenter.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Miranda IM\miranda32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\***\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [dvd43] C:\Program Files\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EA Link\Core.exe" -silent
O4 - HKCU\..\Run: [Vidalia] "C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [fli4l] "C:\Documents and Settings\***\Desktop\Imonc2_0_7f\Imonc.exe" /s:10.0.0.1
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {759AA6A5-76B2-43E2-B940-B0C336C69E01} - h**p://202.106.184.51/download/VodoneActivex.cab
O16 - DPF: {bdbde413-7b1c-4c68-a8ff-c5b2b4090876} (F-Secure Online Scanner 3.3) - h**p://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEF97322-54F2-4EEE-8F20-4B2ECDA4E61B}: NameServer = 10.0.0.1
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (antivirscheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (antivirservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 7411 bytes
Ich hoffe, dass ich jetzt alles richtig zusammengetragen habe :)

Vielen Dank und schöne Grüße,
Buergy

Vista_User 18.05.2008 07:47
Ich würde das System neu aufsetzen.

Sunny 18.05.2008 08:24
Zitat:
Zitat von Vista_User (Beitrag 338995)
Ich würde das System neu aufsetzen.
Und, wie kommst du zu dieser Aussage? :confused:

Zum einen ist dein Beitrag wenig hilfreich als auch nicht-informativ.
Man sollte solch eine Aussage schon begründen können und müssen. ;)



@Buergy


arbeite zunächst folgendes ab:


Schädlinge im Ordner der Systemwiederherstellung:

(Systemwiederherstellung kann nun wieder aktiviert werden.)



Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:



ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen.

Buergy 18.05.2008 10:09
Hallo Sunny,

erstmal Danke für deine Hilfe.
Kann das Log leider nichtmehr in das Ausgangspost einfügen, deswegen gibt es es hier.
Code:
ComboFix 08-05-15.3 - *** 2008-05-18 10:53:36.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1033.18.1638 [GMT 2:00]
Running from: C:\Documents and Settings\***\Desktop\ComboFix.exe
 * Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((  Other Deletions  )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\awttuvvw.dll
C:\WINDOWS\system32\braskncb.ini
C:\WINDOWS\system32\crypts.dll
C:\WINDOWS\system32\drivers\Osv14.sys
C:\WINDOWS\system32\epfwkhmn.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mhlduvgb.ini
C:\WINDOWS\system32\neemgrps.ini
C:\WINDOWS\system32\PpWvyGgh.ini
C:\WINDOWS\system32\PpWvyGgh.ini2
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\wvvuttwa.ini

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Services  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_OSV14
-------\Legacy_tcpsr
-------\Service_Osv14
-------\Service_yzbgqap


(((((((((((((((((((((((((  Files Created from 2008-04-18 to 2008-05-18  )))))))))))))))))))))))))))))))
.

2008-05-18 09:58 . 2008-05-18 09:58        <DIR>        d--------        C:\Program Files\Malwarebytes' Anti-Malware
2008-05-18 09:58 . 2008-05-18 09:58        <DIR>        d--------        C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-18 09:58 . 2008-05-05 20:46        27,048        --a------        C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-18 09:58 . 2008-05-05 20:46        15,864        --a------        C:\WINDOWS\system32\drivers\mbam.sys
2008-05-17 20:46 . 2008-05-17 20:46        <DIR>        d--------        C:\Program Files\Uniblue
2008-05-17 20:14 . 2008-05-17 20:14        <DIR>        d--------        C:\fsaua.data
2008-05-17 20:08 . 2008-05-17 20:08        <DIR>        d--------        C:\Program Files\CCleaner
2008-05-16 21:26 . 2008-05-16 21:26        <DIR>        d--------        C:\Program Files\Avira
2008-05-16 21:21 . 2008-05-16 21:55        <DIR>        d--------        C:\Program Files\Spyware Terminator
2008-05-16 21:21 . 2008-05-17 04:18        <DIR>        d--------        C:\Documents and Settings\All Users\Application Data\Spyware Terminator
2008-05-16 21:21 . 2008-05-16 21:21        141,312        --a------        C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2008-05-12 13:10 . 2008-05-12 13:10        <DIR>        d--------        C:\Documents and Settings\LocalService\Application Data\AdobeUM
2008-05-12 01:48 . 2008-05-17 17:33        109,817        --a------        C:\WINDOWS\BMd3484755.xml
2008-05-11 13:39 . 2008-05-11 13:40        2        --a------        C:\-797215642
2008-05-01 18:01 . 2008-05-01 18:01        <DIR>        d--------        C:\Program Files\Advanced GIF Animator
2008-04-26 23:09 . 2008-04-26 23:09        <DIR>        d--------        C:\Documents and Settings\All Users\Application Data\TVU Networks
2008-04-26 02:12 . 2008-04-26 02:34        128        --a------        C:\index.php
2008-04-20 10:41 . 2008-04-20 10:41        290        --a------        C:\config.php
2008-04-19 19:23 . 2008-04-19 19:23        170        --a------        C:\icon_arrow.gif

.
((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-17 19:01        96,256        ----a-w        C:\WINDOWS\system32\drivers\sptd2317.sys
2008-05-17 19:00        ---------        d-----w        C:\Program Files\Mozilla Thunderbird
2008-05-17 13:53        ---------        d-----w        C:\Program Files\FlashGet
2008-05-16 19:26        ---------        d-----w        C:\Documents and Settings\All Users\Application Data\Avira
2008-05-16 14:56        ---------        d-----w        C:\Program Files\Folder Lock
2008-04-26 21:09        ---------        d-----w        C:\Program Files\TVUPlayer
2008-04-09 15:10        ---------        d-----w        C:\Program Files\TibiaCam TV Lite
2008-04-08 15:06        ---------        d-----w        C:\Program Files\Tibia
2008-03-30 14:04        ---------        d-----w        C:\Program Files\SopCast
2008-03-24 20:19        ---------        d-----w        C:\Program Files\PictureResizer
2008-03-10 14:00        53,248        ----a-w        C:\WINDOWS\system32\suppdll.dll
2008-03-10 14:00        35,363        ----a-w        C:\WINDOWS\system32\windrvNT.sys
2006-05-06 16:42        7,260,160        ----a-w        C:\Program Files\mozilla firefox\plugins\libvlc.dll
.

------- Sigcheck -------

2007-05-29 20:25  360576  1dd47b236399bd231e0f0d1017febe8a        C:\WINDOWS\system32\dllcache\TCPIP.SYS
2007-05-29 20:25  360576  1dd47b236399bd231e0f0d1017febe8a        C:\WINDOWS\system32\drivers\TCPIP.SYS
.
(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:56 15360]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-06-26 11:36 67128]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2006-07-19 22:17 1694208]
"EA Core"="C:\Program Files\Electronic Arts\EA Link\Core.exe" [2007-04-17 07:59 2887680]
"Vidalia"="C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe" [2007-06-02 05:27 12112384]
"fli4l"="C:\Documents and Settings\***\Desktop\Imonc2_0_7f\Imonc.exe" [ ]
"Uniblue RegistryBooster 2"="C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe" [2007-09-06 15:27 1910040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 17:01 68096 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-02-14 05:05 7557120]
"nwiz"="nwiz.exe" [2006-02-14 05:05 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-02-14 05:05 86016]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 16:57 133016]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-06-21 19:14 35328]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-15 16:00 155648]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-05-10 10:48 94208 C:\WINDOWS\KHALMNPR.Exe]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 21:24 32768]
"dvd43"="C:\Program Files\dvd43\dvd43_tray.exe" [2006-05-22 13:26 694272]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2007-11-05 23:32 185632]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 02:06 487424]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 21:33 57344]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:56 15360]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Adobe Reader - Schnellstart.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-06-26 11:36:50 67128]
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-02-28 11:30:14 593920]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrleuml]
rqRLEUml.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= DivXa32.acm
"msacm.l3codec"= L3codecp.acm
"vidc.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\PPLive\\PPLive.exe"=
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Program Files\\PPMate\\ppmate.exe"=
"C:\\Program Files\\PPMate\\ppamnet.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=
"C:\\Program Files\\Tibia\\Tibia.exe"=
"C:\\Program Files\\Miranda IM\\miranda32.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\Last.fm\\LastFM.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Program Files\\X-Chat 2\\xchat.exe"=
"C:\\Program Files\\TVUPlayer\\TVUPlayer.exe"=
"C:\\Program Files\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"C:\\Program Files\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=

R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2005-05-03 17:31]
R1 SSHDRV76;SSHDRV76;C:\WINDOWS\system32\drivers\SSHDRV76.sys [2006-08-28 18:19]
R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2006-08-23 14:21]
R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-06-30 01:53]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 20:36]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-05-18 10:58:52
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


disk error: C:\WINDOWS\system32\drivers\
disk error: C:\DOCUME~1\***\LOCALS~1\Temp\
disk error: C:\WINDOWS\TEMP\
disk error: C:\WINDOWS\system32\
disk error: C:\WINDOWS\
disk error: C:\WINDOWS\system32\wbem\
disk error: C:\Program Files\Common Files\
disk error: C:\Documents and Settings\***\Application Data\
disk error: C:\WINDOWS\Downloaded Program Files\
disk error: C:\
disk error: C:\Documents and Settings\***\Local Settings\Application Data\
disk error: C:\WINDOWS\Fonts\
disk error: C:\Program Files\
disk error: C:\Documents and Settings\***\Start Menu\Programs\Startup\
disk error: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\

scan completed successfully
hidden files:

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.bin
C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
.
**************************************************************************
.
Completion time: 2008-05-18 11:02:47 - machine was rebooted
ComboFix-quarantined-files.txt  2008-05-18 09:02:44

Pre-Run: 255,451,451,392 bytes free
Post-Run: 256,281,038,848 bytes free

186

Sunny 18.05.2008 10:15
Suche auf deinem Systemlaufwerk (c:\) folgende Datei:


---> rqRLEUml.dll


wenn du sie gefunden hast:



Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Zitat:
c:\.....\rqRLEUml.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Buergy 18.05.2008 10:33
Hallo Sunny,

die Windows-Suche findet diese Datei leider nicht.
Habe auch in System- und versteckten Ordern gesucht, hat aber nichts gefunden.

Schöne Grüße,
Buergy

Sunny 18.05.2008 10:37
Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrleuml]

FILE::
C:\WINDOWS\system32\rqrleuml.dll
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann





Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.

Buergy 18.05.2008 12:36
So hab das mal umgesetzt, irgendwie läuft mein PC jetzt auch eine Ecke schneller.

Hier ist das aktuelle Log:
Code:
ComboFix 08-05-15.3 - *** 2008-05-18 13:23:38.4 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1033.18.1697 [GMT 2:00]
Running from: C:\Documents and Settings\***\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((  Files Created from 2008-04-18 to 2008-05-18  )))))))))))))))))))))))))))))))
.

2008-05-18 11:02 .        <DIR>                C:\Documents and Settings\***
2008-05-18 09:58 . 2008-05-18 09:58        <DIR>        d--------        C:\Program Files\Malwarebytes' Anti-Malware
2008-05-18 09:58 . 2008-05-18 09:58        <DIR>        d--------        C:\Documents and Settings\***\Application Data\Malwarebytes
2008-05-18 09:58 . 2008-05-18 09:58        <DIR>        d--------        C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-18 09:58 . 2008-05-05 20:46        27,048        --a------        C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-18 09:58 . 2008-05-05 20:46        15,864        --a------        C:\WINDOWS\system32\drivers\mbam.sys
2008-05-17 20:46 . 2008-05-17 20:46        <DIR>        d--------        C:\Program Files\Uniblue
2008-05-17 20:46 . 2008-05-17 20:46        <DIR>        d--------        C:\Documents and Settings\***\Application Data\Uniblue
2008-05-17 20:14 . 2008-05-17 20:14        <DIR>        d--------        C:\fsaua.data
2008-05-17 20:08 . 2008-05-17 20:08        <DIR>        d--------        C:\Program Files\CCleaner
2008-05-16 21:26 . 2008-05-16 21:26        <DIR>        d--------        C:\Program Files\Avira
2008-05-16 21:21 . 2008-05-16 21:55        <DIR>        d--------        C:\Program Files\Spyware Terminator
2008-05-16 21:21 . 2008-05-16 21:55        <DIR>        d--------        C:\Documents and Settings\***\Application Data\Spyware Terminator
2008-05-16 21:21 . 2008-05-17 04:18        <DIR>        d--------        C:\Documents and Settings\All Users\Application Data\Spyware Terminator
2008-05-16 21:21 . 2008-05-16 21:21        141,312        --a------        C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2008-05-12 13:10 . 2008-05-12 13:10        <DIR>        d--------        C:\Documents and Settings\LocalService\Application Data\AdobeUM
2008-05-12 01:48 . 2008-05-17 17:33        109,817        --a------        C:\WINDOWS\BMd3484755.xml
2008-05-11 13:39 . 2008-05-11 13:40        2        --a------        C:\-797215642
2008-05-01 18:01 . 2008-05-01 18:01        <DIR>        d--------        C:\Program Files\Advanced GIF Animator
2008-04-26 23:09 . 2008-04-26 23:09        <DIR>        d--------        C:\Documents and Settings\***\LocalLow
2008-04-26 23:09 . 2008-04-26 23:09        <DIR>        d--------        C:\Documents and Settings\***\LocalLow
2008-04-26 23:09 . 2008-04-26 23:09        <DIR>        d--------        C:\Documents and Settings\All Users\Application Data\TVU Networks
2008-04-26 02:12 . 2008-04-26 02:34        128        --a------        C:\index.php
2008-04-20 10:41 . 2008-04-20 10:41        290        --a------        C:\config.php
2008-04-19 19:23 . 2008-04-19 19:23        170        --a------        C:\icon_arrow.gif

.
((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-18 11:07        ---------        d-----w        C:\Documents and Settings\***\Application Data\Vidalia
2008-05-18 11:07        ---------        d-----w        C:\Documents and Settings\***\Application Data\OpenOffice.org2
2008-05-17 19:01        96,256        ----a-w        C:\WINDOWS\system32\drivers\sptd2317.sys
2008-05-17 19:00        ---------        d-----w        C:\Program Files\Mozilla Thunderbird
2008-05-17 18:51        ---------        d-----w        C:\Documents and Settings\***\Application Data\Azureus
2008-05-17 13:53        ---------        d-----w        C:\Program Files\FlashGet
2008-05-16 19:26        ---------        d-----w        C:\Documents and Settings\All Users\Application Data\Avira
2008-05-16 14:56        ---------        d-----w        C:\Program Files\Folder Lock
2008-05-09 12:19        ---------        d-----w        C:\Documents and Settings\***\Application Data\Tibia
2008-04-26 21:09        ---------        d-----w        C:\Program Files\TVUPlayer
2008-04-09 15:10        ---------        d-----w        C:\Program Files\TibiaCam TV Lite
2008-04-08 15:06        ---------        d-----w        C:\Program Files\Tibia
2008-03-30 14:04        ---------        d-----w        C:\Program Files\SopCast
2008-03-24 20:19        ---------        d-----w        C:\Program Files\PictureResizer
2008-03-10 14:00        53,248        ----a-w        C:\WINDOWS\system32\suppdll.dll
2008-03-10 14:00        35,363        ----a-w        C:\WINDOWS\system32\windrvNT.sys
2008-02-27 16:10        21,560        ----a-w        C:\Documents and Settings\***\Application Data\GDIPFONTCACHEV1.DAT
2006-05-06 16:42        7,260,160        ----a-w        C:\Program Files\mozilla firefox\plugins\libvlc.dll
.

------- Sigcheck -------

2007-05-29 20:25  360576  1dd47b236399bd231e0f0d1017febe8a        C:\WINDOWS\system32\dllcache\TCPIP.SYS
2007-05-29 20:25  360576  1dd47b236399bd231e0f0d1017febe8a        C:\WINDOWS\system32\drivers\TCPIP.SYS
.
(((((((((((((((((((((((((((((  snapshot@2008-05-18_11.02.34.78  )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-18 08:58:03        2,048        --s-a-w        C:\WINDOWS\bootstat.dat
+ 2008-05-18 11:19:19        2,048        --s-a-w        C:\WINDOWS\bootstat.dat
- 2008-05-18 08:45:05        58,800        ----a-w        C:\WINDOWS\system32\perfc009.dat
+ 2008-05-18 11:23:43        58,800        ----a-w        C:\WINDOWS\system32\perfc009.dat
- 2008-05-18 08:45:05        392,626        ----a-w        C:\WINDOWS\system32\perfh009.dat
+ 2008-05-18 11:23:44        392,626        ----a-w        C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:56 15360]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-06-26 11:36 67128]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2006-07-19 22:17 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 17:01 68096 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-02-14 05:05 7557120]
"nwiz"="nwiz.exe" [2006-02-14 05:05 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-02-14 05:05 86016]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00 132496]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 16:57 133016]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-15 16:00 155648]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-05-10 10:48 94208 C:\WINDOWS\KHALMNPR.Exe]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2007-11-05 23:32 185632]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 21:33 57344]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"MSConfig"="C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.exe" [2006-07-19 22:16 169984]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:56 15360]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-06-26 11:36:50 67128]
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-02-28 11:30:14 593920]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= DivXa32.acm
"msacm.l3codec"= L3codecp.acm
"vidc.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader - Schnellstart.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^***^Start Menu^Programs^Startup^OpenOffice.org 2.2.lnk]
path=C:\Documents and Settings\***\Start Menu\Programs\Startup\OpenOffice.org 2.2.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.2.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dvd43]
--a------ 2006-05-22 13:26 694272 C:\Program Files\dvd43\dvd43_tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
--a------ 2007-04-17 07:59 2887680 C:\Program Files\Electronic Arts\EA Link\Core.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\fli4l]
--a------ 2004-08-25 22:44 2031616 C:\Documents and Settings\***\Desktop\Imonc2_0_7f\Imonc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 21:24 32768 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2006-11-24 02:06 487424 C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]
--a------ 2007-09-06 15:27 1910040 C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vidalia]
--a------ 2007-06-02 05:27 12112384 C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2006-06-21 19:14 35328 C:\Program Files\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\PPLive\\PPLive.exe"=
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Program Files\\PPMate\\ppmate.exe"=
"C:\\Program Files\\PPMate\\ppamnet.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=
"C:\\Program Files\\Tibia\\Tibia.exe"=
"C:\\Program Files\\Miranda IM\\miranda32.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\Last.fm\\LastFM.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Program Files\\X-Chat 2\\xchat.exe"=
"C:\\Program Files\\TVUPlayer\\TVUPlayer.exe"=
"C:\\Program Files\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"C:\\Program Files\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=

R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2005-05-03 17:31]
R1 SSHDRV76;SSHDRV76;C:\WINDOWS\system32\drivers\SSHDRV76.sys [2006-08-28 18:19]
R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2006-08-23 14:21]
R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-06-30 01:53]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 20:36]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-05-18 13:26:51
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


disk error: C:\WINDOWS\system32\drivers\
disk error: C:\DOCUME~1\***\LOCALS~1\Temp\
disk error: C:\WINDOWS\TEMP\
disk error: C:\WINDOWS\
disk error: C:\WINDOWS\system32\wbem\
disk error: C:\Program Files\Common Files\
disk error: C:\Documents and Settings\***\Application Data\
disk error: C:\
disk error: C:\Program Files\
disk error: C:\Documents and Settings\***\Local Settings\Application Data\
disk error: C:\Documents and Settings\***\Start Menu\Programs\Startup\
disk error: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
disk error: C:\WINDOWS\Downloaded Program Files\
disk error: C:\WINDOWS\Fonts\
disk error: C:\WINDOWS\system32\

scan completed successfully
hidden files:

**************************************************************************
.
Completion time: 2008-05-18 13:27:13
ComboFix-quarantined-files.txt  2008-05-18 11:27:12
ComboFix2.txt  2008-05-18 11:14:08
ComboFix3.txt  2008-05-18 11:03:43
ComboFix4.txt  2008-05-18 09:02:48

Pre-Run: 256,214,228,992 bytes free
Post-Run: 256,201,601,024 bytes free

185

Sunny 18.05.2008 14:48
Ich kann aus der combofix.txt keine Infizierungen mehr erkennen, wenn es deinerseits auch keine Probleme mehr gibt würde ich sagen "du bist entlassen".. ;)

Sunny

Buergy 18.05.2008 16:06
So habe gerade nochmals Antivir laufen lassen und es wurde nichts gefunden :Boogie:

Ich möchte mich hiermit bei dir, Sunny, herzlichst bedanken für die Hilfe.
Spitzen Arbeit, die Respekt verdient :aplaus:
Danke nochmals!

Ein schönes Restwochende wünscht,
Buergy

Sunny 18.05.2008 16:07
Zitat:
Zitat von Buergy (Beitrag 339155)
Ein schönes Restwochende wünscht,
Dankeschön, dir auch .. ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:37 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131