Sind es nicht zwei Backdoors? Malwarebytes hatte zwei entdeckt, ausserdem 4neue Trojaner.
Jetzt nun das Combofix - Ergebnis (Ja, die Wiederherstellungskonsole....*schäm*): Code:
ComboFix 08-12-07.04 - * 09.12.2008 23:35:45.3 - NTFSx86
Running from: c:\dokumente und einstellungen\*\Desktop\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((( Files Created from 2008-11-09 to 2008-12-09 )))))))))))))))))))))))))))))))
.
2008-12-09 22:26 . 09.12.08 23:33 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_2a0.dat
2008-12-09 21:32 . 09.12.08 21:32 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_1f8.dat
2008-12-09 20:33 . 09.12.08 20:33 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_210.dat
2008-12-09 20:26 . 09.12.08 20:26 81,920 --a------ c:\winnt\system32\fwvkjha.exe
2008-12-09 20:26 . 09.12.08 20:26 33,459 --a------ c:\winnt\system32\wxfdbr.exe
2008-12-09 18:42 . 09.12.08 18:42 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_208.dat
2008-12-09 17:21 . 09.12.08 17:21 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_290.dat
2008-12-09 17:00 . 09.12.08 17:00 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_450.dat
2008-12-09 16:59 . 09.12.08 16:51 410,984 --a------ c:\winnt\system32\deploytk.dll
2008-12-09 01:14 . 09.12.08 01:14 <DIR> d-------- c:\programme\Lavalys
2008-12-08 21:14 . 08.12.08 21:13 2,554 --a------ c:\programme\listing8.cmd
2008-12-08 20:19 . 08.12.08 20:19 <DIR> d-------- c:\programme\CCleaner
2008-12-08 19:02 . 08.12.08 20:43 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_29c.dat
2008-12-08 08:58 . 08.12.08 08:58 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-08 08:58 . 08.12.08 08:58 <DIR> d-------- c:\dokumente und einstellungen\*\Anwendungsdaten\Malwarebytes
2008-12-08 08:58 . 08.12.08 08:58 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\Malwarebytes
2008-12-08 08:58 . 03.12.08 19:52 38,496 --a------ c:\winnt\system32\drivers\mbamswissarmy.sys
2008-12-08 08:58 . 03.12.08 19:52 15,504 --a------ c:\winnt\system32\drivers\mbam.sys
2008-12-04 23:42 . 04.12.08 23:42 <DIR> d-------- c:\programme\Trend Micro
2008-12-04 20:17 . 04.12.08 20:17 <DIR> d-------- c:\dokumente und einstellungen\*\Anwendungsdaten\ICQ
2008-12-04 01:57 . 04.12.08 20:17 <DIR> d-------- c:\dokumente und einstellungen\*\Anwendungsdaten\ICQLite
2008-12-02 19:52 . 27.05.93 16:02 182,773 --a------ c:\winnt\system32\AAPLAY.DLL
2008-12-02 19:52 . 29.06.92 13:47 16,912 --a------ c:\winnt\system32\MCIAAP.DRV
2008-12-02 19:52 . 29.06.92 15:33 13,840 --a------ c:\winnt\system32\AAVGA.DLL
2008-12-02 19:50 . 03.12.08 20:14 <DIR> d-------- c:\winnt\cualern
2008-12-02 19:50 . 02.12.08 19:50 <DIR> d-------- c:\winnt\asym
2008-12-01 09:18 . 01.12.08 09:18 <DIR> d-------- c:\winnt\system32\BITS
2008-12-01 07:26 . 04.06.04 23:11 438,272 --------- c:\winnt\system32\xpob2res.dll
2008-12-01 07:26 . 05.10.04 18:43 360,960 -----c--- c:\winnt\system32\dllcache\qmgr.dll
2008-12-01 07:26 . 11.10.04 08:04 331,776 --a------ c:\winnt\system32\winhttp.dll
2008-12-01 07:26 . 11.10.04 08:04 331,776 -----c--- c:\winnt\system32\dllcache\winhttp.dll
2008-12-01 07:26 . 05.10.04 18:43 17,408 --a------ c:\winnt\system32\qmgrprxy.dll
2008-12-01 07:26 . 05.10.04 18:43 17,408 -----c--- c:\winnt\system32\dllcache\qmgrprxy.dll
2008-12-01 07:26 . 05.10.04 18:43 7,680 -----c--- c:\winnt\system32\dllcache\bitsprx2.dll
2008-12-01 07:26 . 05.10.04 18:43 7,680 --------- c:\winnt\system32\bitsprx2.dll
2008-12-01 07:26 . 05.10.04 18:43 7,168 -----c--- c:\winnt\system32\dllcache\bitsprx3.dll
2008-12-01 07:26 . 05.10.04 18:43 7,168 --------- c:\winnt\system32\bitsprx3.dll
2008-12-01 05:54 . 01.12.08 05:54 <DIR> d-------- c:\programme\Zone Labs
2008-12-01 02:54 . 20.04.01 15:33 68,608 --a------ c:\winnt\system32\logagent.exe
2008-12-01 02:54 . 20.04.01 15:33 28,160 --a------ c:\winnt\system32\laprxy.dll
2008-12-01 02:23 . 01.12.08 02:51 <DIR> d-------- c:\winnt\Windows Update Setup-Dateien
2008-12-01 02:23 . 01.12.08 02:54 <DIR> d--h----- c:\winnt\msdownld.tmp
2008-12-01 02:22 . 01.12.08 02:22 496,888 --a------ C:\wichtiges setup fr reibungsloses internet.exe
2008-12-01 01:50 . 16.10.08 14:08 31,768 --a------ c:\winnt\system32\wucltui.dll.mui
2008-12-01 01:50 . 16.10.08 14:08 27,672 --a------ c:\winnt\system32\wuaucpl.cpl.mui
2008-12-01 01:50 . 16.10.08 14:08 27,672 --a------ c:\winnt\system32\wuapi.dll.mui
2008-12-01 01:50 . 16.10.08 14:07 18,968 --a------ c:\winnt\system32\wuaueng.dll.mui
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-09 15:50 --------- d-----w c:\programme\Java
2008-12-04 20:35 --------- d---a-w c:\programme\ICQLite
2008-12-01 02:04 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-12-01 01:22 496,888 ----a-w C:\wichtiges setup für reibungsloses internet.exe
2008-10-17 17:10 --------- d-----w c:\programme\ICQToolbar
2008-10-16 13:13 1,809,944 ----a-w c:\winnt\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\winnt\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\winnt\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\winnt\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\winnt\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\winnt\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\winnt\system32\wups.dll
2008-10-14 12:51 --------- d-----w c:\programme\Gemeinsame Dateien\Java
2004-04-12 16:50 271 ---h--w c:\programme\desktop.ini
2004-04-12 16:50 22,080 ---h--w c:\programme\folder.htt
1999-12-10 11:00 32,528 ----a-w c:\winnt\inf\wbfirdma.sys
.
((((((((((((((((((((((((((((( snapshot@Mo 08.12.2008_20.51.40,53 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-08-12 14:38:38 23,558 ----a-r c:\winnt\Installer\{AC76BA86-7AD7-1031-7B44-A00000000001}\ARPPRODUCTICON.exe
+ 2008-12-09 15:09:12 23,558 ----a-r c:\winnt\Installer\{AC76BA86-7AD7-1031-7B44-A00000000001}\ARPPRODUCTICON.exe
- 2003-06-19 19:05:04 73,488 ----a-w c:\winnt\system32\DRWTSN32.EXE
+ 2003-06-19 19:05:04 81,680 ----a-w c:\winnt\system32\DRWTSN32.EXE
- 2008-06-09 23:21:01 135,168 ----a-w c:\winnt\system32\java.exe
+ 2008-12-09 15:51:47 144,792 ----a-w c:\winnt\system32\java.exe
- 2008-06-09 23:21:04 135,168 ----a-w c:\winnt\system32\javaw.exe
+ 2008-12-09 15:51:47 144,792 ----a-w c:\winnt\system32\javaw.exe
- 2008-06-10 00:32:34 139,264 ----a-w c:\winnt\system32\javaws.exe
+ 2008-12-09 15:51:47 148,888 ----a-w c:\winnt\system32\javaws.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LXSUPMON"="c:\winnt\system32\LXSUPMON.EXE" [28.01.02 13:48 885760]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [09.12.08 16:51 136600]
"ICQ Lite"="c:\programme\ICQLite\ICQLite.exe" [29.09.03 13:58 1713755]
"MSConfig"="c:\dokumente und einstellungen\*\Desktop\msconfig.exe" [28.06.01 09:33 144896]
"Synchronization Manager"="mobsync.exe" [19.06.03 20:05 112400 c:\winnt\system32\mobsync.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [10.12.99 12:00 20752 c:\winnt\system32\internat.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [19.06.03 20:05 189712]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LexBceS"=2 (0x2)
"AntiVirService"=2 (0x2)
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://w*w.google.de/
IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm -
LSP: %SystemRoot%\system32\msafd.dll
TCP: {2C2D7C77-11F7-4989-8FF3-45F810F28AC9} = 212.6.108.140 212.6.108.141
O16 -: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
c:\winnt\Downloaded Program Files\DirectAnimation Java Classes.osd
O16 -: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
c:\winnt\Downloaded Program Files\Microsoft XML Parser for Java.osd
FireFox -: Profile - c:\dokumente und einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\1rmc6l5i.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://w*w.google.de/
FF -: plugin - c:\programme\Adobe\Acrobat 6.0\Reader\browser\nppdf32.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h*tp://w*w.gmer.net
Rootkit scan 2008-12-09 23:41:39
Windows 5.0.2195 Service Pack 4 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(180)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
- - - - - - - > 'explorer.exe'(1328)
c:\winnt\AppPatch\AcLayers.DLL
.
Completion time: 09.12.2008 23:46:30
ComboFix-quarantined-files.txt 2008-12-09 22:46:20
ComboFix2.txt 2008-12-09 16:35:55
ComboFix3.txt 2008-12-08 19:54:42
Pre-Run: 5.971.222.528 Bytes frei
Post-Run: 5,965,693,440 Bytes frei
147 --- E O F --- 2008-12-01 08:20:24 Und, ich hoffe, es hat alles geklappt: http://www.file-upload.net/download-...sting.txt.html
Zu guter letzt, das aktuelle Hijackthis - Logfile: Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:54:05, on 09.12.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LXSUPMON.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\AGFEO\ISDN Guard\agfguard.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tkmedia.exe
C:\WINNT\System32\cidaemon.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\notepad.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MSConfig] C:\Dokumente und Einstellungen\*\Desktop\msconfig.exe /auto
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*tp://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228092357738
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C2D7C77-11F7-4989-8FF3-45F810F28AC9}: NameServer = 212.6.108.140 212.6.108.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C2D7C77-11F7-4989-8FF3-45F810F28AC9}: NameServer = 212.6.108.140 212.6.108.141
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Health Center Service (HCenterSer) - Unknown owner - c:\RECYCLER\tesktog.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINNT\SYSTEM32\slserv.exe
O24 - Desktop Component 0: (no name) - h*tp://w*w.richard-universum.de/blog/wp-content/uploads/2006/05/blumen.jpg
--
End of file - 4465 bytes |