Trojaner-Board - AV Security Suite eingefangen

hier das logfile von combofix. Ich habe es leider übersehen, die Datei umzubenennen bevor ich das Programm gestartet habe, aber ich denke es hat trotzdem seinen Job erledigt (jedenfalls gab es keine fehlermeldungen, oder einen absturz)

Ich werde ab morgen für die nächsten monate nicht an diesen pc drankönnen. Falls der schädling/die schädlinge noch nicht beseitigt sein sollten, so hoffe ich dass mir hier die weiteren schritte mitgeteilt werden, sodass ich diese dann ausführen kann sobald ich wieder zugriff auf den pc habe.

vielen Dank!

------------------------------------

Combofix Logfile:
Code:
ComboFix 10-07-16.02 - Fukuyoshi 18.07.2010  19:43:00.2.2 - x86 NETWORK

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1794 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\Fukuyoshi\Desktop\ComboFix.exe

.

Die folgenden Dateien wurden während des Laufs deaktiviert:

c:\windows\system32\netdtvdm.dll
 
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokume~1\FUKUYO~1\LOKALE~1\Temp\service.exe
 

Infizierte Kopie von c:\windows\system32\DRIVERS\RDPCDD.sys wurde gefunden und desinfiziert 

Kopie von - Kitty had a snack :p wurde wiederhergestellt 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-06-18 bis 2010-07-18  ))))))))))))))))))))))))))))))

.
 

2010-07-18 17:39 . 2002-12-31 12:00        4224        ----a-w-        c:\windows\system32\drivers\RDPCDD.sys

2010-07-18 16:30 . 2010-07-18 16:30        --------        d-----w-        c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\GlarySoft

2010-07-18 16:30 . 2010-07-18 16:31        --------        d-----w-        c:\programme\Glary Registry Repair

2010-07-18 15:50 . 2010-07-18 15:50        664        ----a-w-        c:\windows\system32\d3d9caps.dat

2010-07-18 15:29 . 2010-07-18 15:29        --------        dc-h--w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\{BD986C1B-72EC-4B82-B47B-6CAC4E6F494E}

2010-07-18 15:18 . 2010-07-18 17:11        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy

2010-07-18 15:18 . 2010-07-18 15:20        --------        d-----w-        c:\programme\Spybot - Search & Destroy

2010-07-18 14:33 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-07-18 14:33 . 2010-07-18 14:33        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-07-18 14:33 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-07-18 13:32 . 2010-07-18 13:32        --------        d-----w-        c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Identities

2010-07-18 10:49 . 2010-07-18 10:49        46592        ----a-w-        c:\windows\system32\netdtvdm.dll

2010-07-13 10:29 . 2010-07-13 10:29        --------        d-----w-        c:\programme\CCleaner

2010-07-12 23:56 . 2010-07-13 00:03        --------        d-----w-        c:\windows\system32\NtmsData

2010-07-11 09:26 . 2010-07-11 09:57        --------        d---a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP

2010-07-10 23:59 . 2010-07-10 23:59        --------        d-----w-        c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\Malwarebytes

2010-07-10 23:59 . 2010-07-10 23:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-07-07 07:36 . 2010-07-07 07:36        142        ----a-w-        c:\dokumente und einstellungen\Fukuyoshi\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat

2010-07-07 07:36 . 2010-07-08 12:08        --------        d-----w-        c:\dokumente und einstellungen\Fukuyoshi\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory

2010-07-05 10:17 . 2006-08-11 15:02        104960        ----a-r-        c:\windows\hporclnr.exe

2010-07-05 10:17 . 2010-07-05 10:17        --------        d-----w-        c:\programme\HP

2010-07-05 10:16 . 2001-08-18 02:54        87040        -c--a-w-        c:\windows\system32\dllcache\wiafbdrv.dll

2010-07-05 10:16 . 2001-08-18 02:54        87040        ----a-w-        c:\windows\system32\wiafbdrv.dll

2010-07-05 10:16 . 2008-04-13 18:45        15104        -c--a-w-        c:\windows\system32\dllcache\usbscan.sys

2010-07-05 10:16 . 2008-04-13 18:45        15104        ----a-w-        c:\windows\system32\drivers\usbscan.sys

2010-07-05 10:14 . 2010-07-05 10:14        --------        d-----w-        c:\windows\system32\URTTemp

2010-07-05 10:13 . 2010-07-05 10:15        --------        d--h--w-        c:\programme\Agilent-HP

2010-07-05 10:13 . 2010-07-05 10:13        --------        d-----w-        c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\HP

2010-07-05 10:10 . 2008-04-13 18:47        25856        -c--a-w-        c:\windows\system32\dllcache\usbprint.sys

2010-07-05 10:10 . 2008-04-13 18:47        25856        ----a-w-        c:\windows\system32\drivers\usbprint.sys

2010-07-03 22:33 . 2010-07-15 23:32        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet

2010-07-03 22:16 . 2010-07-03 22:16        --------        d-----w-        c:\programme\Adobe Media Player

2010-07-03 22:16 . 2010-07-03 22:16        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe AIR

2010-07-03 22:11 . 2010-07-03 22:11        --------        d-----w-        c:\programme\Gemeinsame Dateien\Macrovision Shared

2010-07-03 09:59 . 2010-07-03 09:59        --------        d-----w-        c:\windows\l2schemas

2010-07-03 09:59 . 2010-07-03 09:59        --------        d-----w-        c:\windows\system32\de

2010-07-03 09:59 . 2010-07-03 09:59        --------        d-----w-        c:\windows\system32\bits

2010-06-29 18:59 . 2010-06-29 18:59        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\McAfee

2010-06-27 20:32 . 2010-06-27 20:32        --------        d-----w-        c:\dokumente und einstellungen\Fukuyoshi\Lokale Einstellungen\Anwendungsdaten\Help

2010-06-26 07:18 . 2010-06-26 07:18        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee

2010-06-26 07:18 . 2010-06-26 08:47        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-07-10 23:29 . 2008-07-30 14:29        --------        d-----w-        c:\programme\SpywareBlaster

2010-07-06 22:56 . 2002-12-31 12:00        63580        ----a-w-        c:\windows\system32\perfc007.dat

2010-07-06 22:56 . 2002-12-31 12:00        391000        ----a-w-        c:\windows\system32\perfh007.dat

2010-07-03 22:33 . 2008-08-02 22:17        58464        -c--a-w-        c:\dokumente und einstellungen\Fukuyoshi\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT

2010-07-03 22:22 . 2008-07-29 00:19        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe

2010-07-03 11:51 . 2008-07-29 00:13        --------        d--h--w-        c:\programme\InstallShield Installation Information

2010-07-03 11:47 . 2008-08-01 10:38        --------        d-----w-        c:\programme\Ulead Systems

2010-07-03 11:47 . 2008-08-01 10:38        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems

2010-07-03 10:00 . 2008-07-28 23:58        86327        ----a-w-        c:\windows\pchealth\helpctr\OfflineCache\index.dat

2010-07-01 11:52 . 2010-07-09 21:03        1496064        ----a-w-        c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\Mozilla\Firefox\Profiles\mo8x2w31.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll

2010-07-01 11:51 . 2010-07-09 21:03        43008        ----a-w-        c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\Mozilla\Firefox\Profiles\mo8x2w31.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll

2010-07-01 11:51 . 2010-07-09 21:03        338944        ----a-w-        c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\Mozilla\Firefox\Profiles\mo8x2w31.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll

2010-07-01 11:51 . 2010-07-09 21:03        346112        ----a-w-        c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\Mozilla\Firefox\Profiles\mo8x2w31.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll

2010-06-05 20:09 . 2008-09-18 12:00        --------        d-----w-        c:\programme\MAGIX

2010-06-05 20:07 . 2008-09-18 12:13        --------        d-----w-        c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\MAGIX

2010-06-05 20:07 . 2008-09-18 12:00        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX

2010-05-04 17:14 . 2002-12-31 12:00        832512        ----a-w-        c:\windows\system32\wininet.dll

2010-05-04 17:14 . 2002-12-31 12:00        78336        ----a-w-        c:\windows\system32\ieencode.dll

2010-05-04 17:14 . 2002-12-31 12:00        17408        ------w-        c:\windows\system32\corpol.dll

2010-05-02 08:05 . 2002-12-31 12:00        1851392        ----a-w-        c:\windows\system32\win32k.sys

2010-04-20 05:29 . 2002-12-31 12:00        285696        ----a-w-        c:\windows\system32\atmfd.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2008-07-16 16806400]

"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-11-17 7700480]

"nwiz"="nwiz.exe" [2006-11-17 1622016]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-11-17 86016]

"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-05-12 148888]

"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"HP OrderReminder Cleaner"="c:\windows\hporclnr.exe" [2006-08-11 104960]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\Fukuyoshi\Startmen\Programme\Autostart\

Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-8-9 110592]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-8-9 110592]

Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Ahead\\Nero Wave Editor\\DXEnum.exe"=

"c:\\Programme\\Mozilla Firefox\\firefox.exe"=

"c:\\Programme\\ICQ7.0\\ICQ.exe"=

"c:\\Programme\\ICQ7.0\\aolload.exe"=

"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
 

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [18.09.2008 14:10 1527900]

.

Inhalt des "geplante Tasks" Ordners
 

2008-08-02 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 15:57]
 

2010-07-18 c:\windows\Tasks\WGASetup.job

- c:\windows\system32\KB905474\wgasetup.exe [2009-04-22 20:18]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\Mozilla\Firefox\Profiles\mo8x2w31.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - component: c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\Mozilla\Firefox\Profiles\mo8x2w31.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll

FF - plugin: c:\dokumente und einstellungen\Fukuyoshi\Anwendungsdaten\Move Networks\plugins\071802000001\npqmp071802000001.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-07-18 19:52

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-776561741-688789844-1417001333-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:eb,0c,96,b2,c2,81,ea,a8,77,b2,3b,85,f2,fb,7f,aa,2d,8d,b2,f9,2f,19,ad,

   fe,2c,b9,3a,be,85,4d,cc,48,96,fb,e1,81,39,a8,b3,e9,9f,2d,e1,95,04,44,f9,df,\

"??"=hex:8d,0b,2c,a9,81,3f,a2,55,9a,e1,35,6d,1d,30,fb,40

.

Zeit der Fertigstellung: 2010-07-18  19:56:35 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-07-18 17:56
 

Vor Suchlauf: 12 Verzeichnis(se), 10.274.705.408 Bytes frei

Nach Suchlauf: 13 Verzeichnis(se), 11.121.803.264 Bytes frei
 

- - End Of File - - 6591DDA6AB641CA68D758F723EAE0EB7
--- --- ---