Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an. (https://www.trojaner-board.de/57571-bitte-um-auswertung-ie-oeffnet-automatisch-zeigt-werbemails.html)

TanteEmma 09.08.2008 20:23
Bitte um Auswertung: IE öffnet automatisch und zeigt Werbemails an.
 
Huhu,
Irgentwie öffnet sich seit ein paar Wochen automatisch der IE und zeigt Werbeanzeigen oder Downloadverlinkungen an. Nach einiger Zeit googlen und Kopfzerbrechen würde ich euch bitten mal mein Log anzuschauen. :heulen:

Hier:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:04:15, on 09.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Messenger\msmsgs.exe
E:\ICQ6\ICQ.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\s53Dvr5k.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Adobe Reader\Reader\AcroRd32.exe
C:\WINDOWS\system32\rundll32.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {246FAE60-AAA8-4BAF-A82C-F28C6087A836} - C:\WINDOWS\system32\pmnnLeDw.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: solution Class - {99C6D1BB-7555-474C-91DA-D8FB62A9CC75} - C:\WINDOWS\system32\Sxw2VRqK.dll (file missing)
O2 - BHO: (no name) - {FAF222F2-BA99-46F0-8491-D5D6B5A25780} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [IECheck] C:\WINDOWS\IECheck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "E:\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab2.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5419 bytes


Ich hoffe mir kann jemand helfen

danke x)
die Tante. :party:

cosinus 11.08.2008 10:26
Hallo und :hallo:

Acker das hier für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern noch vorhanden) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
C:\WINDOWS\system32\s53Dvr5k.exe
2.) DSS
3.) Backlight ausführen, Logfile posten
4.) Malwarebytes Antimalware
5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
Bitte nach der Bereinigung auf SP3 und IE7 aktualisieren!

TanteEmma 11.08.2008 13:04
1:

Code:

 Datei CNl123g4.exe empfangen 2008.08.09 22:25:19 (CET)
Status: Beendet
Ergebnis: 13/35 (37.14%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.8.9.0        2008.08.08        Win32/NSAnti.suspicious
AntiVir        7.8.1.19        2008.08.09        TR/Crypt.ULPM.Gen
Authentium        5.1.0.4        2008.08.09        -
Avast        4.8.1195.0        2008.08.09        -
AVG        8.0.0.156        2008.08.09        Clicker.PEK
BitDefender        7.2        2008.08.09        Trojan.Adclicker.HB
CAT-QuickHeal        9.50        2008.08.08        -
ClamAV        0.93.1        2008.08.09        -
DrWeb        4.44.0.09170        2008.08.09        -
eSafe        7.0.17.0        2008.08.07        Suspicious File
eTrust-Vet        31.6.6019        2008.08.08        -
Ewido        4.0        2008.08.09        -
F-Prot        4.4.4.56        2008.08.08        -
Fortinet        3.14.0.0        2008.08.09        -
GData        2.0.7306.1023        2008.08.09        -
Ikarus        T3.1.1.34.0        2008.08.09        Trojan-Downloader.Win32.Agent.vvi
K7AntiVirus        7.10.408        2008.08.09        -
Kaspersky        7.0.0.125        2008.08.09        -
McAfee        5357        2008.08.08        -
Microsoft        1.3807        2008.08.09        -
NOD32v2        3342        2008.08.09        a variant of Win32/TrojanClicker.Agent.NEB
Norman        5.80.02        2008.08.08        -
Panda        9.0.0.4        2008.08.09        Suspicious file
PCTools        4.4.2.0        2008.08.09        -
Prevx1        V2        2008.08.09        Malicious Software
Rising        20.56.41.00        2008.08.08        Trojan.Win32.Undef.jrw
Sophos        4.32.0        2008.08.09        Mal/HckPk-A
Sunbelt        3.1.1538.1        2008.08.09        -
Symantec        10        2008.08.09        -
TheHacker        6.2.96.395        2008.08.08        -
TrendMicro        8.700.0.1004        2008.08.08        PAK_Generic.001
VBA32        3.12.8.3        2008.08.09        -
ViRobot        2008.8.8.1329        2008.08.08        -
VirusBuster        4.5.11.0        2008.08.09        -
Webwasher-Gateway        6.6.2        2008.08.09        Trojan.Crypt.ULPM.Gen
weitere Informationen
File size: 80898 bytes
MD5...: aa2ce2a0e0c13ed64fc5f62167ec1a84
SHA1..: 3bb3cc550dbf88aa7b3046f3aec6126bdd944d8c
SHA256: 6be3ec2d1fed855ff72018eb5cc7ef8a1f52ffc22cfe497768d25cb55fa0dec9
SHA512: 98f1f511b91751e1e2059c4bb0faf987dad59ee1b1caaedb8ca96d615f940448
d809b65132afb274403784ee4e5846b7653f93e78b696fa3268cb2c204313bb8
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x421129
timedatestamp.....: 0x489d0803 (Sat Aug 09 02:59:15 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xd000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xe000 0x14000 0x13400 7.99 09c60e032767f65467645cc55cbcfc5a
.rsrc 0x22000 0x1000 0x400 2.91 19e83e235069a5993bded7a104ddc96c

( 9 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegCloseKey
> NETAPI32.dll: NetScheduleJobAdd
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> SHELL32.dll: StrChrA
> SHLWAPI.dll: StrDupA
> USER32.dll: wsprintfA
> WININET.dll: InternetOpenA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=A858E67D02DD37743C70012CF5B8E10004847C55


2:

Code:

Deckard's System Scanner v20071014.68
Run by Phil on 2008-08-11 14:05:26
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
48: 2008-08-11 12:05:32 UTC - RP134 - Deckard's System Scanner Restore Point
47: 2008-08-09 19:00:33 UTC - RP133 - Entfernt Assassin's Creed
46: 2008-08-09 15:48:07 UTC - RP132 - Software Distribution Service 3.0
45: 2008-08-04 15:35:02 UTC - RP131 - Software Distribution Service 3.0
44: 2008-07-18 10:59:57 UTC - RP130 - Systemprüfpunkt


-- First Restore Point --
1: 2008-05-12 16:44:29 UTC - RP87 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.



-- HijackThis Clone ------------------------------------------------------------


Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-08-11 14:07:00
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\s53Dvr5k.exe
C:\Dokumente und Einstellungen\Phil\Desktop\dss.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {246FAE60-AAA8-4BAF-A82C-F28C6087A836} - C:\WINDOWS\system32\pmnnLeDw.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: solution Class - {99C6D1BB-7555-474C-91DA-D8FB62A9CC75} - C:\WINDOWS\system32\Sxw2VRqK.dll
O2 - BHO: (no name) - {FAF222F2-BA99-46F0-8491-D5D6B5A25780} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - E:\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [IECheck] C:\WINDOWS\IECheck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "E:\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab Class) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL
O18 - Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - C:\WINDOWS\system32\shell32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - C:\WINDOWS\system32\shell32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


--
End of file - 6642 bytes

-- File Associations -----------------------------------------------------------

.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R2 ACEDRV07 - c:\windows\system32\drivers\acedrv07.sys <Not Verified; Protect Software GmbH; >
R2 ElbyCDIO (ElbyCDIO Driver) - c:\windows\system32\drivers\elbycdio.sys <Not Verified; Elaborate Bytes AG; CDRTools>
R3 AnyDVD - c:\windows\system32\drivers\anydvd.sys <Not Verified; SlySoft, Inc.; AnyDVD>
R3 ElbyCDFL - c:\windows\system32\drivers\elbycdfl.sys <Not Verified; SlySoft, Inc.; CloneCD>
R3 ElbyDelay - c:\windows\system32\drivers\elbydelay.sys <Not Verified; Elaborate Bytes AG; CDRTools>
R3 TTDVBLCD (TechnoTrend DVB PCI budget Driver) - c:\windows\system32\drivers\ttdvblcd.sys <Not Verified; TechnoTrend AG; TT-DVB PCI budget>

S1 SASKUTIL - c:\programme\superantispyware\saskutil.sys (file missing)
S3 PciCon - f:\pcicon.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 Apple Mobile Device - "c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>
R2 Bonjour Service (Bonjour-Dienst) - c:\programme\bonjour\mdnsresponder.exe <Not Verified; Apple Inc.; Bonjour>

S3 FirebirdServerMAGIXInstance (Firebird Server - MAGIX Instance) - e:\magix\common\database\bin\fbserver.exe <Not Verified; MAGIX®; Firebird SQL Server - MAGIX Edition>
S3 FLEXnet Licensing Service - "c:\programme\gemeinsame dateien\macrovision shared\flexnet publisher\fnplicensingservice.exe" <Not Verified; Macrovision Europe Ltd.; FLEXnet Publisher (32 bit)>


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Scheduled Tasks -------------------------------------------------------------

2008-08-11 14:00:01      354 --a------ C:\WINDOWS\Tasks\At15.job
2008-08-11 14:00:00      354 --a------ C:\WINDOWS\Tasks\At39.job
2008-08-11 13:41:50      322 --ah----- C:\WINDOWS\Tasks\MP Scheduled Scan.job
2008-08-11 13:38:43      354 --a------ C:\WINDOWS\Tasks\At47.job
2008-08-10 22:00:01      354 --a------ C:\WINDOWS\Tasks\At23.job
2008-08-10 21:37:28      354 --a------ C:\WINDOWS\Tasks\At43.job
2008-08-10 18:00:01      354 --a------ C:\WINDOWS\Tasks\At19.job
2008-08-10 17:29:35      354 --a------ C:\WINDOWS\Tasks\At38.job
2008-08-10 17:00:11      354 --a------ C:\WINDOWS\Tasks\At42.job
2008-08-10 17:00:02      354 --a------ C:\WINDOWS\Tasks\At18.job
2008-08-10 16:00:10      354 --a------ C:\WINDOWS\Tasks\At41.job
2008-08-10 16:00:02      354 --a------ C:\WINDOWS\Tasks\At17.job
2008-08-10 15:00:10      354 --a------ C:\WINDOWS\Tasks\At40.job
2008-08-10 15:00:02      354 --a------ C:\WINDOWS\Tasks\At16.job
2008-08-10 13:00:01      354 --a------ C:\WINDOWS\Tasks\At14.job
2008-08-10 12:19:04      354 --a------ C:\WINDOWS\Tasks\At25.job
2008-08-10 00:13:01      354 --a------ C:\WINDOWS\Tasks\At1.job
2008-08-09 23:00:10      354 --a------ C:\WINDOWS\Tasks\At48.job
2008-08-09 23:00:01      354 --a------ C:\WINDOWS\Tasks\At24.job
2008-08-09 21:00:10      354 --a------ C:\WINDOWS\Tasks\At46.job
2008-08-09 21:00:01      354 --a------ C:\WINDOWS\Tasks\At22.job
2008-08-09 20:00:10      354 --a------ C:\WINDOWS\Tasks\At45.job
2008-08-09 20:00:01      354 --a------ C:\WINDOWS\Tasks\At21.job
2008-08-09 19:00:10      354 --a------ C:\WINDOWS\Tasks\At44.job
2008-08-09 19:00:01      354 --a------ C:\WINDOWS\Tasks\At20.job
2008-07-19 01:00:11      354 --a------ C:\WINDOWS\Tasks\At26.job
2008-07-19 01:00:01      354 --a------ C:\WINDOWS\Tasks\At2.job
2008-07-18 02:00:10      354 --a------ C:\WINDOWS\Tasks\At27.job
2008-07-18 02:00:02      354 --a------ C:\WINDOWS\Tasks\At3.job
2008-07-17 22:09:27      354 --a------ C:\WINDOWS\Tasks\At37.job
2008-07-17 22:09:27      354 --a------ C:\WINDOWS\Tasks\At36.job
2008-07-17 22:09:27      354 --a------ C:\WINDOWS\Tasks\At35.job
2008-07-17 22:09:27      354 --a------ C:\WINDOWS\Tasks\At34.job
2008-07-17 22:09:27      354 --a------ C:\WINDOWS\Tasks\At33.job
2008-07-17 22:09:27      354 --a------ C:\WINDOWS\Tasks\At32.job
2008-07-17 22:09:27      354 --a------ C:\WINDOWS\Tasks\At31.job
2008-07-17 22:09:27      354 --a------ C:\WINDOWS\Tasks\At30.job
2008-07-17 22:09:27      354 --a------ C:\WINDOWS\Tasks\At29.job
2008-07-17 22:09:27      354 --a------ C:\WINDOWS\Tasks\At28.job
2008-07-17 21:58:49      354 --a------ C:\WINDOWS\Tasks\At9.job
2008-07-17 21:58:49      354 --a------ C:\WINDOWS\Tasks\At8.job
2008-07-17 21:58:49      354 --a------ C:\WINDOWS\Tasks\At7.job
2008-07-17 21:58:49      354 --a------ C:\WINDOWS\Tasks\At6.job
2008-07-17 21:58:49      354 --a------ C:\WINDOWS\Tasks\At5.job
2008-07-17 21:58:49      354 --a------ C:\WINDOWS\Tasks\At4.job
2008-07-17 21:58:49      354 --a------ C:\WINDOWS\Tasks\At13.job
2008-07-17 21:58:49      354 --a------ C:\WINDOWS\Tasks\At12.job
2008-07-17 21:58:49      354 --a------ C:\WINDOWS\Tasks\At11.job
2008-07-17 21:58:49      354 --a------ C:\WINDOWS\Tasks\At10.job
2008-05-13 11:13:24      276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job


-- Files created between 2008-07-11 and 2008-08-11 -----------------------------

2008-08-09 22:20:19    80898 --a------ C:\WINDOWS\system32\s53Dvr5k.exe
2008-08-09 21:04:05    396288 --a------ C:\HijackThis.exe <Not Verified; Trend Micro Inc.; HijackThis>
2008-08-09 18:19:35    29184 --a------ C:\WINDOWS\system32\Sxw2VRqK.dll <Not Verified; TODO: <Company name>; TODO: <Product name>>
2008-07-17 21:58:48    29760 --a------ C:\WINDOWS\system32\v50vMeTk.exe
2008-07-16 17:00:20        0 d-------- C:\Programme\DivX


-- Find3M Report ---------------------------------------------------------------

2008-07-18 22:13:09        0 d-------- C:\Dokumente und Einstellungen\Phil\Anwendungsdaten\passport_photo
2008-07-18 22:09:42        0 d-------- C:\Dokumente und Einstellungen\Phil\Anwendungsdaten\ProtectDisc
2008-07-16 17:00:22      1394 --a------ C:\WINDOWS\mozver.dat
2008-07-13 14:30:07        0 d-------- C:\Programme\Java
2008-07-12 23:21:16    83571 --a------ C:\WINDOWS\War3Unin.dat
2008-06-15 18:22:52        0 d-------- C:\Dokumente und Einstellungen\Phil\Anwendungsdaten\ICQ
2008-05-29 17:40:27      1080 --a------ C:\WINDOWS\AUTOLNCH.REG
2008-05-22 17:00:22  1868944 --a------ C:\WINDOWS\system32\RSA32_16.DLL
2008-05-20 16:33:42    70505 --a------ C:\WINDOWS\BricoPackUninst.cmd
2008-05-20 16:33:42      5462 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{246FAE60-AAA8-4BAF-A82C-F28C6087A836}]
                        C:\WINDOWS\system32\pmnnLeDw.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{99C6D1BB-7555-474C-91DA-D8FB62A9CC75}]
09.08.2008 18:19        29184        --a------        C:\WINDOWS\system32\Sxw2VRqK.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FAF222F2-BA99-46F0-8491-D5D6B5A25780}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [19.12.2005 08:52 C:\WINDOWS\RTHDCPL.exe]
"Alcmtr"="ALCMTR.EXE" [03.05.2005 12:43 C:\WINDOWS\Alcmtr.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [10.03.2006 07:38]
"nwiz"="nwiz.exe" [10.03.2006 07:38 C:\WINDOWS\system32\nwiz.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [10.06.2008 04:27]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 12:50]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [10.03.2006 07:38]
"Monitor"="C:\WINDOWS\PixArt\PAC207\Monitor.exe" [03.11.2006 11:01]
"KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" []
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [03.11.2006 19:20]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IECheck"="C:\WINDOWS\IECheck.exe" [16.01.2008 17:11]
"@"="" []
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [13.10.2004 18:24]
"ICQ"="E:\ICQ6\ICQ.exe" [01.04.2008 12:40]

C:\Dokumente und Einstellungen\Phil\Startmen\Programme\Autostart\
RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [19.03.2007 00:05:02]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders        msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2cd03498-f346-11dc-a59f-0017311b45a2}]
AutoRun\command- G:\starter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62aed4f8-2902-11dd-9c43-0017311b45a2}]
AutoRun\command- G:\Autorun.exe




-- End of Deckard's System Scanner: finished at 2008-08-11 14:07:39 ------------
Backlight erstellt irgentwie kein logfile bei mir :-/

TanteEmma 11.08.2008 17:25
4:



Code:

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1040
Windows 5.1.2600 Service Pack 2

18:11:43 11.08.2008
mbam-log-8-11-2008 (18-11-42).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 148150
Laufzeit: 1 hour(s), 21 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\Sxw2VRqK.dll (Trojan.BHO) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\TypeLib\{00476c87-a276-49bf-86bc-ff005732430b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{892b2785-b0d0-4aa2-ae6a-0ed60b00a979} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{99c6d1bb-7555-474c-91da-d8fb62a9cc75} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99c6d1bb-7555-474c-91da-d8fb62a9cc75} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\solution.solution (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\solution.solution.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7c4bcd17-bdba-4078-9d8c-8ca8b7eabe77} (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\Sxw2VRqK.dll (Trojan.BHO) -> Delete on reboot.
C:\Deckard\System Scanner\backup\DOKUME~1\Phil\LOKALE~1\Temp\setup_526_1_.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Phil\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FUF8HP47\CA5WUTHN (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Phil\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I0J00UA3\hctp[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9697952D-E93F-4B74-9865-E162161C6C6E}\RP97\A0035529.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9697952D-E93F-4B74-9865-E162161C6C6E}\RP130\A0039717.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9697952D-E93F-4B74-9865-E162161C6C6E}\RP132\A0040758.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\s53Dvr5k.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\v50vMeTk.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
Code:

ComboFix 08-08-10.05 - Phil 2008-08-11 18:30:50.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.663 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Phil\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((  Weitere L”schungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\smp.bat
C:\WINDOWS\system32\kqasjhkm.ini
C:\WINDOWS\system32\qtgvmyuk.ini
C:\WINDOWS\system32\tvxIPXyb.ini
C:\WINDOWS\system32\tvxIPXyb.ini2
C:\WINDOWS\system32\wDeLnnmp.ini
C:\WINDOWS\system32\wDeLnnmp.ini2

.
(((((((((((((((((((((((  Dateien erstellt von 2008-07-11 bis 2008-08-11  ))))))))))))))))))))))))))))))
.

2008-08-11 14:24 . 2008-07-30 20:07        38,472        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-11 14:05 . 2008-08-11 14:05        <DIR>        d--------        C:\Deckard
2008-08-09 22:20 . 2008-08-09 20:19        80,898        --a------        C:\WINDOWS\system32\s53Dvr5k.exe
2008-08-09 21:04 . 2008-08-09 21:04        396,288        --a------        C:\HijackThis.exe
2008-08-09 19:00 . 2008-08-09 19:00        <DIR>        d--------        C:\Dokumente und Einstellungen\NetworkService\Eigene Dateien
2008-07-18 22:13 . 2008-07-18 22:13        <DIR>        d--------        C:\Dokumente und Einstellungen\Phil\Anwendungsdaten\passport_photo
2008-07-18 13:00 . 2008-07-18 13:00        <DIR>        d---s----        C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-07-18 02:07 . 2008-07-18 02:07        268        --ah-----        C:\sqmdata00.sqm
2008-07-18 02:07 . 2008-07-18 02:07        244        --ah-----        C:\sqmnoopt00.sqm
2008-07-17 21:58 . 2008-07-17 21:58        29,760        --a------        C:\WINDOWS\system32\v50vMeTk.exe
2008-07-16 17:00 . 2008-07-16 17:00        <DIR>        d--------        C:\Programme\DivX
2008-07-12 20:44 . 2001-08-17 13:53        3,328        --a------        C:\WINDOWS\system32\drivers\qv2kux.sys
2008-07-12 20:44 . 2001-08-17 13:53        3,328        --a--c---        C:\WINDOWS\system32\dllcache\qv2kux.sys

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-11 13:46        ---------        d-----w        C:\Dokumente und Einstellungen\Phil\Anwendungsdaten\ProtectDisc
2008-08-11 12:24        ---------        d-----w        C:\Programme\Malwarebytes' Anti-Malware
2008-07-30 18:07        17,144        ----a-w        C:\WINDOWS\system32\drivers\mbam.sys
2008-07-15 13:30        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2008-07-13 12:30        ---------        d-----w        C:\Programme\Java
2008-06-15 16:22        ---------        d-----w        C:\Dokumente und Einstellungen\Phil\Anwendungsdaten\ICQ
2008-05-20 14:33        70,505        ----a-w        C:\WINDOWS\BricoPackUninst.cmd
2008-05-20 14:33        5,462        ----a-w        C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-04-07 12:31        852        ----a-w        C:\Programme\INSTALL.LOG
.

------- Sigcheck -------

2007-12-07 02:46  671744  273f4b37b80c8d398713a88b788fe59b        C:\WINDOWS\$hf_mig$\KB944533\SP2QFE\wininet.dll
2008-02-16 11:30  671744  6c49192217df0509bc6a576535545529        C:\WINDOWS\$hf_mig$\KB947864\SP2QFE\wininet.dll
2004-08-04 14:00  662016  b1a1da99c4a6ebfd59f86a453bf02f39        C:\WINDOWS\$NtUninstallKB944533$\wininet.dll
2007-12-07 03:06  699392  b2e6c42b738235bcea0edfb566a6f102        C:\WINDOWS\$NtUninstallKB947864$\wininet.dll
2008-02-16 10:59  699392  a372fd352bd83091bd7b875d33cdecbe        C:\WINDOWS\system32\wininet.dll
2008-02-16 10:59  699392  a372fd352bd83091bd7b875d33cdecbe        C:\WINDOWS\system32\dllcache\wininet.dll

2007-06-13 15:21  978944  01a48faef0ffc2e6a0763de98f5ba4a6        C:\WINDOWS\explorer.exe
2007-06-13 15:10  1036288  331ed93570baf3cfe30340298762cd56        C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-04 14:00  1035264  22fe1be02eadde1632e478e4125639e0        C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:21  978944  01a48faef0ffc2e6a0763de98f5ba4a6        C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IECheck"="C:\WINDOWS\IECheck.exe" [2008-01-16 17:11 108544]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ICQ"="E:\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-10 07:38 7557120]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-03-10 07:38 86016]
"Monitor"="C:\WINDOWS\PixArt\PAC207\Monitor.exe" [2006-11-03 11:01 319488]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-19 08:52 15797248 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2006-03-10 07:38 1519616 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\kav\\kav7.0\\german\\setup.exe"=
"D:\\cs 1.6\\hl.exe"=
"D:\\Warcraft III Lan\\war3.exe"=
"E:\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-10-28 17:35]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-10-26 15:53]
R3 PAC207;Eye 110;C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2006-12-05 11:34]
R3 TTDVBLCD;TechnoTrend DVB PCI budget Driver;C:\WINDOWS\system32\DRIVERS\ttdvblcd.sys [2004-11-08 17:39]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;E:\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 16:18]
S3 PciCon;PciCon;F:\PciCon.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2cd03498-f346-11dc-a59f-0017311b45a2}]
\Shell\AutoRun\command - G:\starter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62aed4f8-2902-11dd-9c43-0017311b45a2}]
\Shell\AutoRun\command - G:\Autorun.exe
.
Inhalt des "geplante Tasks" Ordners

2008-05-13 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]

2008-08-11 C:\WINDOWS\Tasks\MP Scheduled Scan.job
- C:\Programme\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

BHO-{246FAE60-AAA8-4BAF-A82C-F28C6087A836} - C:\WINDOWS\system32\pmnnLeDw.dll
BHO-{FAF222F2-BA99-46F0-8491-D5D6B5A25780} - (no file)


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Phil\Anwendungsdaten\Mozilla\Firefox\Profiles\v62llbe1.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-11 18:35:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-11 18:40:53 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-08-11 16:40:39

Pre-Run: 10 Verzeichnis(se), 140,650,942,464 Bytes frei
Post-Run: 13 Verzeichnis(se), 141,380,653,056 Bytes frei

140        --- E O F ---        2008-04-09 19:47:10

cosinus 12.08.2008 12:08
Öffnen sich noch Werbefenster?

(1)
Deaktiviere die SWH, durch Schädlingsbefall landen auch Malwaredateien in Wiederherstellungspunkten. Diese sind dann unbrauchbar und sollten gelöscht werden indem man eben die SWH deaktiviert.

(2)
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
files to delete:
C:\WINDOWS\system32\s53Dvr5k.exe
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

(3)
Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing8.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

TanteEmma 12.08.2008 16:03
bis jetzt ist nix mehr passiert... aber ich trau dem braten noch nicht weil oft einfach symstemsounds kommen obwohl ich garnichts mache und sogar nichtmal am pc sitze. trotzdem vielen vielen dank für die hilfe werd' ich machen wenns wirklich wieder passiert. :Boogie:

:aplaus::aplaus::aplaus::aplaus:

cosinus 12.08.2008 17:00
Acker das mit den drei Punkten was ich heute geschrieben habe bitte trotzdem ab, unabhängig davon ob sich noch Seiten öffnen oder nicht.

TanteEmma 15.08.2008 21:35
Code:

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Fri Aug 15 22:32:36 2008

22:32:36: Error: Invalid script.  A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\WINDOWS\system32\s53Dvr5k.exe" not found!
Deletion of file "C:\WINDOWS\system32\s53Dvr5k.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
gibts nimmer die datei scheinbar.


und hier schritt (3)

http://rapidshare.com/files/137598214/listing.txt.html

cosinus 16.08.2008 13:30
Code:
Verzeichnis von C:\WINDOWS\Tasks

2008-08-15  22:34                  6 SA.DAT
2008-08-15  22:00              354 At47.job
2008-08-15  22:00              354 At23.job
2008-08-15  21:00              354 At46.job
2008-08-15  21:00              354 At22.job
In den scheduled tasks sind viele solcher At-Jobs - lösch die, das dürften Überreste von Malware sein.

Code:
C:\WINDOWS\system32\s53Dvr5k.exe.a_a
Ebenfalls löschen.
Ansonsten seh ich da nix mehr. :party:

TanteEmma 16.08.2008 21:23
Code:

2008-08-15  22:34                  6 SA.DAT
kann ich nicht finden :headbang:
und soll ich alle at s löschen oder nur die aufgelisteten? x) :confused::confused:

VIELEN DANK auf jeden fall schonmal. voll toll die Hilfe. :party:

:aplaus:

cosinus 17.08.2008 19:57
Lösch nur die AT-Jobs...

TanteEmma 19.08.2008 14:07
alle? :balla:

da sind knapp 30 oder so. oder nur die aufgelisteten aus dem vorherigen post?

cosinus 19.08.2008 14:54
Nein, alle.
Was guckst Du so :balla: wo ist das Problem alle at zu löschen? :rolleyes: geht sogar mit einem Befehl in einem rutsch ;)

Code:
del c:\windows\tasks\at*.job
:)

TanteEmma 19.08.2008 16:49
ich fand den smile nur lustig... ja ich mein weil du da nur ein paar aufgelistet hast ich dachte der rest wäre wichtig x)

danke habse gelöscht


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:32 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129