Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Mülltonne (https://www.trojaner-board.de/muelltonne/)
-   -   TR/Crypt.NSPM.Gen in c:/WINNT/SVCHOST.EXE (https://www.trojaner-board.de/53605-tr-crypt-nspm-gen-c-winnt-svchost-exe.html)

Seevogel 10.06.2008 20:18
Ich habe auch das neue Script auf das Icon ComboFix gezogen, aber das Script verdeckt das Icon von ComboFix nur und startet es nicht. dazu muß ich auf ComboFix doppelklicken. Ich erhalte dann folgendes LogFile:
ComboFix 08-06-07.3 - Administrator 2008-06-10 21:08:32.4 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.649 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-10 bis 2008-06-10 ))))))))))))))))))))))))))))))
.

2008-06-10 21:08 . 08-06-10 21:08 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_39c.dat
2008-06-10 19:41 . 08-06-10 19:41 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_680.dat
2008-06-10 19:37 . 08-06-10 19:37 <DIR> d-------- C:\Programme\Sygate
2008-06-10 19:37 . 03-10-14 19:20 77,824 --a------ C:\WINNT\system32\SSSensor.dll
2008-06-10 19:37 . 03-10-14 19:09 55,888 --a------ C:\WINNT\system32\drivers\Teefer.sys
2008-06-10 19:37 . 03-10-14 19:11 18,515 --a------ C:\WINNT\system32\drivers\wpsdrvnt.sys
2008-06-10 19:37 . 03-10-14 19:06 11,914 --a------ C:\WINNT\system32\drivers\wg3n.sys
2008-06-08 21:29 . 08-06-08 21:29 <DIR> d-------- C:\WINNT\ERUNT
2008-06-08 21:22 . 08-06-08 21:22 <DIR> d-------- C:\Programme\CCleaner
2008-06-08 20:55 . 08-06-08 02:23 <DIR> d-------- C:\SDFix
2008-06-07 10:37 . 08-06-07 10:39 <DIR> d-------- C:\WINNT\BDOSCAN8
2008-06-06 21:58 . 08-06-06 21:58 <DIR> d-------- C:\WINNT\system32\Kaspersky Lab
2008-06-06 21:58 . 08-06-06 21:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-06 18:43 . 08-06-06 18:43 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_630.dat
2008-06-05 20:32 . 08-06-07 09:54 102 --a------ C:\WINNT\systeminf.ini
2008-06-05 20:32 . 08-06-07 09:54 40 --a------ C:\WINNT\SVCH0ST.INI
2008-06-02 20:16 . 08-06-02 20:16 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_624.dat
2008-05-18 17:56 . 08-05-18 17:56 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_700.dat
2008-05-16 20:59 . 08-06-09 15:18 85 --a------ C:\ARP.BAT
2008-05-16 20:59 . 08-06-09 15:18 80 --a------ C:\explorer
2008-05-16 20:59 . 08-06-09 15:18 37 --a------ C:\bat.bat
2008-05-15 21:06 . 08-05-26 18:36 54,156 --ah----- C:\WINNT\QTFont.qfn
2008-05-15 21:06 . 08-05-15 22:22 1,409 --a------ C:\WINNT\QTFont.for
2008-05-15 20:51 . 08-06-03 19:59 64 --a------ C:\gz
2008-05-15 19:49 . 08-05-15 19:49 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_5d8.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-10 17:40 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Orbit
2008-06-10 17:39 --------- d-----w C:\Programme\PestPatrol
2008-06-10 04:26 --------- d-----w C:\Programme\Password pro
2008-06-10 04:18 --------- d-----w C:\Programme\Steganos Safe 7
2008-06-08 19:47 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-29 18:04 --------- d-----w C:\Programme\Microsoft ActiveSync
2008-05-15 19:06 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ZipGenius
2008-05-12 10:09 --------- d-----w C:\Programme\VideoLAN
2008-05-08 17:50 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dp3d
2008-05-08 17:49 --------- d-----w C:\Programme\Two Worlds Pinball
2008-04-29 17:59 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-28 18:28 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-28 18:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-04-28 18:28 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield
2008-04-26 13:10 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Gael
2008-04-24 16:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Gael
2008-04-24 16:42 --------- d-----w C:\Programme\Gael
2008-04-24 16:37 --------- d-----w C:\Programme\MindGenius
2008-04-21 11:59 --------- d-----w C:\Programme\Copernic Desktop Search 2
2008-04-20 13:36 --------- d-----w C:\Programme\Ulead Systems
2008-04-20 11:24 --------- d-----w C:\Programme\Z-Cron
2008-04-20 11:21 80,384 ------w C:\WINNT\AKDeInstall.exe
2008-04-20 11:21 --------- d-----w C:\Programme\Backup
2008-04-20 11:09 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-04-20 11:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-19 16:05 --------- d-----w C:\Programme\Opera
2008-04-18 16:39 --------- d-----w C:\Programme\audiograbber
2008-04-15 04:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-13 11:23 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-04-12 20:22 691,545 ----a-w C:\WINNT\unins000.exe
2008-04-12 20:20 --------- d-----w C:\Programme\Java
2008-03-27 07:06 355,104 ----a-w C:\WINNT\system32\msxbde40.dll
2008-03-27 07:05 838,432 ----a-w C:\WINNT\system32\mswdat10.dll
2008-03-27 07:05 264,992 ----a-w C:\WINNT\system32\mstext40.dll
2008-03-27 07:04 559,904 ----a-w C:\WINNT\system32\msrepl40.dll
2008-03-27 07:04 432,928 ----a-w C:\WINNT\system32\msrd2x40.dll
2008-03-27 07:04 322,336 ----a-w C:\WINNT\system32\msrd3x40.dll
2008-03-27 07:03 355,104 ----a-w C:\WINNT\system32\mspbde40.dll
2008-03-27 07:03 248,608 ----a-w C:\WINNT\system32\msjtes40.dll
2008-03-27 07:03 219,936 ----a-w C:\WINNT\system32\msltus40.dll
2008-03-27 07:02 60,192 ----a-w C:\WINNT\system32\msjter40.dll
2008-03-27 07:02 355,112 ----a-w C:\WINNT\system32\msjetoledb40.dll
2008-03-27 07:01 1,516,568 ----a-w C:\WINNT\system32\msjet40.dll
2008-03-27 07:00 518,944 ----a-w C:\WINNT\system32\msexch40.dll
2008-03-27 07:00 326,432 ----a-w C:\WINNT\system32\msexcl40.dll
2008-03-27 06:59 621,344 ----a-w C:\WINNT\system32\mswstr10.dll
2008-03-27 06:59 187,168 ----a-w C:\WINNT\system32\msjint40.dll
2008-03-20 10:22 1,644,240 ----a-w C:\WINNT\system32\WIN32K.SYS
2006-10-04 21:04 866 ----a-w C:\Programme\dbk.log
2006-10-04 20:50 0 ----a-w C:\Programme\DLLAV32.LOG
2005-07-20 14:55 3,968,976 ----a-r C:\Programme\MSASYNC_DE.EXE
2005-04-09 19:26 944 ----a-w C:\Programme\INSTALL1.LOG
2005-01-15 21:41 22,080 ---h--w C:\Programme\folder.htt
2003-05-14 08:45 3,920 ----a-w C:\Programme\HOTLINE.TXT
2000-10-04 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
1997-01-17 16:37 766 ----a-w C:\Programme\HOTLINE.ICO
.

------- Sigcheck -------

01-02-20 14:09 8192 d36a33c21eeed5a6c1daecb7c80a1909 C:\WINNT\system32\CTFMON.EXE
.
((((((((((((((((((((((((((((( snapshot@So 08.06.2008_21.53.25,62 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-08 19:29:55 4,329,472 ----a-w C:\WINNT\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2008-06-10 17:04:40 4,210,688 ----a-w C:\WINNT\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
- 2008-06-08 19:29:55 176,128 ----a-w C:\WINNT\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-06-10 17:04:40 176,128 ----a-w C:\WINNT\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-06-10 17:37:15 4,608 ----a-r C:\WINNT\Installer\{8F8A0923-9987-4791-9014-968B5A984A4B}\IconC989D247.exe
+ 2003-10-14 17:09:12 95,200 ----a-w C:\WINNT\system32\FwsVpn.dll
+ 2003-10-14 17:20:24 122,880 ----a-w C:\WINNT\system32\SetAid.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="ctfmon.exe" [01-02-20 14:09 8192 C:\WINNT\system32\CTFMON.EXE]
"SAFE7"="C:\Programme\Steganos Safe 7\SAFE7.exe" [05-05-02 16:10 274432]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [08-01-28 11:43 2097488]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [08-03-24 21:32 68856]
"Copernic Desktop Search 2"="C:\Programme\Copernic Desktop Search 2\DesktopSearchService.exe" [08-03-03 22:45 1583624]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [04-02-09 11:32 401491]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-19 21:05 112400 C:\WINNT\system32\mobsync.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [04-09-29 08:15 344064]
"Cmaudio"="cmicnfg.cpl" []
"SoundMan"="SOUNDMAN.EXE" [04-07-27 18:01 68096 C:\WINNT\SOUNDMAN.EXE]
"PPMemCheck"="C:\Programme\PestPatrol\PPMemCheck.exe" [04-06-07 22:47 146432]
"PestPatrol Control Center"="C:\Programme\PestPatrol\PPControl.exe" [05-02-28 12:53 98816]
"CookiePatrol"="C:\Programme\PestPatrol\CookiePatrol.exe" [05-02-28 12:53 105472]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [07-07-12 04:00 132496]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [08-04-14 21:01 262401]
"CARPService"="carpserv.exe" [01-12-23 13:02 4608 C:\WINNT\system32\carpserv.exe]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [04-12-14 03:12 483328]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [07-04-27 09:41 282624]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [03-10-21 16:36 2334792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [00-10-04 14:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 21:05 189712]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Lexware Info Service.lnk - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2007-01-30 15:53:26 2732584]
Orbit.lnk - C:\Programme\Orbitdownloader\orbitdm.exe [2008-02-10 12:56:49 1678536]
Quicken 2008 Zahlungserinnerung.lnk - C:\Programme\Lexware\Quicken\2008\billmind.exe [2007-04-19 01:29:00 61440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"vidc.iv31"= C:\WINNT\system32\ir32_32.dll
"vidc.iv32"= C:\WINNT\system32\ir32_32.dll
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" -lang 1033
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"SideWinderTrayV4"=C:\PROGRA~1\MICROS~4\GAMECO~1\Common\SWTrayV4.exe
"tray.exe"="C:\Programme\Paragon Software\Paragon CD-ROM Emulator\tray.exe"
"NeroFilterCheck"=C:\WINNT\system32\NeroCheck.exe

R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys [08-04-14 21:01 ]
R0 Defrag32b;Defrag32Boot;C:\WINNT\system32\drivers\Defrag32b.sys [04-10-23 10:01 ]
R0 m5289;m5289;C:\WINNT\system32\drivers\m5289.sys [04-07-24 01:00 ]
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [08-04-14 21:01 ]
R2 cFosNT;cFosNT;C:\WINNT\system32\Drivers\cFosNT.sys [03-01-22 14:21 ]
R2 Defrag32;Defrag32;C:\WINNT\system32\drivers\Defrag32.sys [04-10-23 10:01 ]
R2 DPTIMER_WB;WISO Börse Zeitsteuerung;C:\Programme\WISO\Börse2005\BIN\dptimersvc.exe [04-10-14 07:00 ]
R2 NMSAccessU;NMSAccessU;C:\WINNT\system32\NMSAccessU.exe [07-10-12 09:34 ]
R2 SLEE_81_DRIVER;Steganos Live Encryption Engine 8.1 [Driver];C:\WINNT\system32\drivers\SLEE81.sys [05-05-02 10:02 ]
R2 USBDLM;USBDLM;C:\Dokumente und Einstellungen\Administrator\Desktop\usbdlm402\USBDLM\USBDLM.exe [07-09-04 08:06 ]
R3 cdiport;cdiport;C:\WINNT\system32\DRIVERS\cdiport.sys [04-04-27 10:22 ]
R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys [03-06-19 21:05 ]
R3 TDSLAdapter;T-DSL-Adapter (T-Online);C:\WINNT\system32\DRIVERS\TDSLAdap.sys [01-02-12 22:02 ]
R3 ULI5261;ULi Based Ethernet NT Driver;C:\WINNT\system32\DRIVERS\ULILAN.SYS [04-07-26 21:22 ]
R3 usbhub20;USB-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 21:05 ]
S0 nullcd;nullcd;C:\WINNT\system32\Drivers\nullcd.sys []
S2 EC3FE0A;EC3FE0A;C:\WINNT\system32\92FFDA1.EXE []
S2 PDSched;PDScheduler;C:\Programme\Raxco\PerfectDisk\PDSched.exe [05-01-27 12:52 ]
S2 windowneters;Window Event Server;c:\Recycled\svchose.exe []
S3 cdrmkaun;cdrmkaun;C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\cdrmkaun.sys []
S3 TDSLProtocol;T-DSL-Protocol (T-Online);C:\WINNT\system32\DRIVERS\TDSLProt.sys [01-02-12 22:02 ]
S3 XDva076;XDva076;C:\WINNT\system32\XDva076.sys []

.
Inhalt des "geplante Tasks" Ordners
"2008-05-16 15:16:01 C:\WINNT\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2007-08-05 18:41:52 C:\WINNT\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-10 21:10:43
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-10 21:11:46
ComboFix-quarantined-files.txt 2008-06-10 19:11:41
ComboFix2.txt 2008-06-08 20:04:15
ComboFix3.txt 2008-06-08 19:53:38

24 Verzeichnis(se), 2,653,335,552 Bytes frei
27 Verzeichnis(se), 2,639,183,872 Bytes frei

197 --- E O F --- 2008-05-31 18:02:38


Das Highjack this File passt hier nicht mehr, ich poste es separat.
Avitivir findet übrigens beim Suchlauf keine Schadsofttware mehr.
Nochmals vielen Dank für Eure Mühe!!!!!

Seevogel 10.06.2008 20:20
Hier ist noch das HighJack This File:
Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

BataAlexander 11.06.2008 20:39
Schau bitte unter c:\Qoobox nach, ob Du dort eine Datei mit einem ähnlichen Namen wie
Zitat:
CFScript_used_2008-06-08@16.33
findest.
Diese bitte mal, wenn vorhanden posten.

Führe ein Java Update durch! Deinstalliere vorher alle alten Java Versionen (Systemsteuerung / Software). Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!

@root24: Das Script ist für diese Verwendung Ok.
@Karl: Du hast mit allem recht was Du sagt. Der einzige Vorteil, der vieles aufwiegt, liegt in der Combo Anwendung vieler kleiner Bausteine.

cosinus 11.06.2008 22:21
Zitat:
Zitat von Bata Alexander
@root24: Das Script ist für diese Verwendung Ok.
Ok, so schlau war ich vorher, ich hätte nur gern gewusst wozu die URL im Script für CF gut sein soll! :dummguck:

cosinus 11.06.2008 23:00
@Seevogel: Dir wurde das Neuaufsetzen nicht nur so zum Spaß empfohlen, Du hast nen ganz unliebsamen Rbot am Wickel. Und wenn ich sowas hier sehe

S0 nullcd;nullcd;C:\WINNT\system32\Drivers\nullcd.sys []
S2 EC3FE0A;EC3FE0A;C:\WINNT\system32\92FFDA1.EXE []
S2 windowneters;Window Event Server;c:\Recycled\svchose.exe []
S3 cdrmkaun;cdrmkaun;C:\DOKUME~1\ADMINI~1\LOKALE~1\Te mp\cdrmkaun.sys []
S3 XDva076;XDva076;C:\WINNT\system32\XDva076.sys []

wird mir noch schlechter. :balla:


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:51 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131