| hansthomas | 09.11.2011 23:21 |
Hi,
Dr.Web lief den ganzen Tag bis heute nacht um 2200h! Da ist auch einiges aufgetaucht: ein paar alte Sachen in Emailarchiven, die ich als weniger akkut einstufe, aber später manuell löschen werde; und vor allem trojan.starter.1695 und siggen3 - die entsprechendenden files habe ich alle removed.
Gerade läuft cofi und danach wende ich systemlook an, wie du mir geraten hattest.
Das Netzwerk geht immer noch nicht. Nochmal: soll ich es mit der dell xp Betriebssystem Cd versuchen, oder hat das keinen Sinn?
Nochmal was ganz grundsätzliches: ich wundere mich immer noch drüber, wie so eine Infektion passieren kann: msse, antivir, win updates, java - alles aktuell. In der betreffenden Sitzung hatte ich nur outlook express und firefox mit 2 Tabs offen. Dann sehe ich kurz unten rechts das java Symbol auftauchen und schon blinken msse und antivir - den Rest kennst Du bereits. Dann ist man ja vor gar nichts gefeit?
Die logs hänge ich heute noch an - oder morgen früh - dann wollte ich Dr.Web auch noch ein zweites Mal drüber laufen lassen. ok?
[QUOTE]
Combofix Logfile: Code:
ComboFix 11-11-08.01 - *** 09.11.2011 23:11:08.5.4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3582.3193 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\CoboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\CFScript.txt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_ovhssjwl
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-10-09 bis 2011-11-09 ))))))))))))))))))))))))))))))
.
.
2011-11-06 22:46 . 2011-11-06 22:46 -------- d-----r- c:\dokumente und einstellungen\NetworkService\Favoriten
2011-11-06 22:15 . 2011-11-06 22:15 -------- d-----w- C:\TDSSKiller_Quarantine
2011-11-06 20:12 . 2011-11-06 20:12 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\PCHealth
2011-11-06 20:02 . 2011-11-06 20:02 -------- d-----w- c:\windows\system32\wbem\Repository
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-27 07:00 . 2011-05-20 07:27 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-09-26 09:41 . 2007-10-09 11:03 614912 ----a-w- c:\windows\system32\uiautomationcore.dll
2011-09-26 09:41 . 2004-08-04 12:00 23040 ----a-w- c:\windows\system32\oleaccrc.dll
2011-09-26 09:41 . 2004-08-04 12:00 220160 ----a-w- c:\windows\system32\oleacc.dll
2011-09-09 09:11 . 2004-08-04 12:00 604160 ----a-w- c:\windows\system32\crypt32.dll
2011-09-06 14:10 . 2004-08-04 12:00 1859072 ----a-w- c:\windows\system32\win32k.sys
2011-08-22 23:41 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2011-08-22 23:41 . 2004-08-04 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-08-22 23:41 . 2004-08-04 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-08-22 11:56 . 2004-08-04 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-08-17 13:49 . 2004-08-04 12:00 138496 ----a-w- c:\windows\system32\drivers\afd.sys
.
.
((((((((((((((((((((((((((((( SnapShot_2011-11-08_08.37.15 )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-08-04 12:00 . 2008-04-14 02:22 76800 c:\windows\system32\dllcache\cryptdlg.dll
+ 2008-04-14 02:22 . 2008-04-14 02:22 47104 c:\windows\system32\dllcache\coadmin.dll
+ 2004-08-04 12:00 . 2008-04-14 02:20 16896 c:\windows\system32\dllcache\cfgmgr32.dll
+ 2008-04-14 02:22 . 2008-04-14 02:22 16439 c:\windows\system32\dllcache\author.exe
+ 2008-04-14 02:22 . 2008-04-14 02:22 20540 c:\windows\system32\dllcache\author.dll
+ 2004-08-04 12:00 . 2008-04-14 02:22 30208 c:\windows\system32\dllcache\atmlib.dll
+ 2004-08-04 12:00 . 2010-03-05 14:37 65536 c:\windows\system32\dllcache\asycfilt.dll
- 2010-03-05 14:37 . 2010-03-05 14:37 65536 c:\windows\system32\dllcache\asycfilt.dll
+ 2004-08-04 12:00 . 2008-04-14 02:22 98304 c:\windows\system32\dllcache\ahui.exe
+ 2008-04-14 02:22 . 2008-04-14 02:22 43520 c:\windows\system32\dllcache\admwprox.dll
+ 2008-04-14 02:22 . 2008-04-14 02:22 16439 c:\windows\system32\dllcache\admin.exe
+ 2008-04-14 02:22 . 2008-04-14 02:22 20540 c:\windows\system32\dllcache\admin.dll
+ 2008-04-14 02:22 . 2008-04-14 02:22 7168 c:\windows\system32\dllcache\bitsprx4.dll
- 2011-09-03 10:17 . 2011-09-09 09:11 604160 c:\windows\system32\dllcache\crypt32.dll
+ 2004-08-04 12:00 . 2011-09-09 09:11 604160 c:\windows\system32\dllcache\crypt32.dll
+ 2004-08-04 12:00 . 2008-04-14 02:22 253440 c:\windows\system32\dllcache\compatui.dll
+ 2004-08-04 12:00 . 2008-04-14 02:22 281600 c:\windows\system32\dllcache\comdlg32.dll
- 2010-10-14 06:50 . 2010-08-23 16:11 617472 c:\windows\system32\dllcache\comctl32.dll
+ 2004-08-04 12:00 . 2010-08-23 16:11 617472 c:\windows\system32\dllcache\comctl32.dll
+ 2008-04-14 02:22 . 2008-04-14 02:22 188480 c:\windows\system32\dllcache\cfgwiz.exe
+ 2008-04-14 02:22 . 2008-04-14 02:22 233472 c:\windows\system32\dllcache\azroles.dll
+ 2004-08-04 12:00 . 2008-04-14 02:22 125952 c:\windows\system32\dllcache\apphelp.dll
+ 2008-04-14 02:22 . 2008-04-14 02:22 290816 c:\windows\system32\dllcache\adsiis51.dll
+ 2004-08-04 12:00 . 2008-04-14 02:22 116224 c:\windows\system32\dllcache\acxtrnal.dll
+ 2004-08-04 12:00 . 2008-04-14 02:22 245248 c:\windows\system32\dllcache\acspecfc.dll
+ 2004-08-04 12:00 . 2009-11-21 15:54 471552 c:\windows\system32\dllcache\aclayers.dll
- 2010-01-11 11:56 . 2009-11-21 15:54 471552 c:\windows\system32\dllcache\aclayers.dll
+ 2008-04-14 02:22 . 2008-04-14 02:22 136192 c:\windows\system32\dllcache\aaclient.dll
+ 2004-08-04 12:00 . 2008-04-14 02:22 1852928 c:\windows\system32\dllcache\acgenral.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-08-29 1966080]
"Launch LCDMon"="c:\programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-12-13 2051096]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 16857600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-11-10 11:49 35736 ----a-w- c:\programme\Adobe\Reader 10.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Launch LGDCore]
2007-12-13 15:57 2095640 ----a-w- c:\programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"d:\\Programme\\tswebeditor\\tswebeditor.exe"=
"d:\\Programme\\Azureus\\Azureus.exe"=
"d:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"d:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"d:\\Programme\\Foxit Software\\PDF Editor\\PDFEdit.exe"=
"d:\\Programme\\EA Games\\Mirror's Edge\\Binaries\\MirrorsEdge.exe"=
"d:\\Programme\\Ubisoft\\Related Designs\\ANNO 1404\\tools\\Anno4Web.exe"=
"d:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"d:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
"d:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"d:\\Programme\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04.04.2008 11:23 717296]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [25.12.2009 12:35 36608]
S3 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [25.12.2009 12:35 233472]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\66.tmp --> c:\windows\system32\66.tmp [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Free YouTube to MP3 Converter - c:\dokumente und einstellungen\***\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\1ocv3mwk.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.n-tv.de/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Free YouTube Download (Free Studio) Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-11-09 23:25
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\66.tmp"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1177238915-1960408961-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:0b,5d,a1,63,9b,b5,1a,50,8d,49,7d,bc,33,23,aa,97,30,60,90,61,aa,3e,e3,
dc,d8,a0,33,50,24,bb,8c,77,b2,3f,a1,c1,91,8c,55,9d,59,76,1a,2e,11,14,f5,40,\
"??"=hex:21,d1,f4,23,40,9e,54,eb,6e,bf,2c,f9,c3,83,da,43
.
[HKEY_USERS\S-1-5-21-1177238915-1960408961-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:23,0e,f2,eb,85,bb,10,ac,95,72,40,14,36,da,5c,28,dc,a7,d8,2b,88,
af,b5,8a,0a,19,58,fa,c5,14,ad,e9,66,40,d9,6a,0c,43,9b,a5,4d,81,a8,e0,ee,c9,\
"rkeysecu"=hex:56,1b,63,f5,6c,2f,5e,9d,eb,8f,e6,4a,54,48,26,8d
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(352)
c:\windows\system32\wpdshext.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\Audiodev.dll
c:\windows\system32\WMVCore.DLL
c:\windows\system32\WMASF.DLL
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-11-09 23:28:40 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-11-09 22:28
ComboFix2.txt 2011-11-08 20:46
ComboFix3.txt 2011-11-08 08:40
ComboFix4.txt 2011-01-24 09:42
.
Vor Suchlauf: 14 Verzeichnis(se), 63.504.121.856 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 63.488.327.680 Bytes frei
.
- - End Of File - - 402C0100B105D1A16FBC0BA354F3C27F
--- --- --- Zitat:
SystemLook 30.07.11 by jpshortstuff
Log created at 23:35 on 09/11/2011 by ***
Administrator - Elevation successful
========== filefind ==========
Searching for "mswsock.dll"
C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\mswsock.dll --a---- 247296 bytes [17:43 20/06/2008] [17:43 20/06/2008] 4AA50627B01C0E9C6B4C6BD3AF648F12
C:\WINDOWS\$hf_mig$\KB951748\SP2QFE\mswsock.dll --a---- 247296 bytes [17:36 20/06/2008] [17:36 20/06/2008] EB55B1D9978B61E9913EDCD27EEC4C7C
C:\WINDOWS\$hf_mig$\KB951748\SP3GDR\mswsock.dll --a---- 247296 bytes [17:46 20/06/2008] [17:46 20/06/2008] ACD8BD448A74F344D46FCAF21BAB92AF
C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\mswsock.dll --a---- 247296 bytes [17:43 20/06/2008] [17:43 20/06/2008] 4AA50627B01C0E9C6B4C6BD3AF648F12
C:\WINDOWS\$NtServicePackUninstall$\mswsock.dll -----c- 247296 bytes [06:27 27/08/2008] [17:39 20/06/2008] 774274C487493452DF3B0126DBE7FF3B
C:\WINDOWS\$NtUninstallKB2509553$\mswsock.dll -----c- 247296 bytes [20:39 15/04/2011] [17:46 20/06/2008] ACD8BD448A74F344D46FCAF21BAB92AF
C:\WINDOWS\$NtUninstallKB951748$\mswsock.dll -----c- 247296 bytes [06:34 27/08/2008] [02:22 14/04/2008] F12B9D9A069331877D006CC81B4735F9
C:\WINDOWS\$NtUninstallKB951748_0$\mswsock.dll -----c- 247296 bytes [09:14 09/07/2008] [12:00 04/08/2004] B36E08F680BAE4DFC5C24D00A2DFC9E7
C:\WINDOWS\ERDNT\cache\mswsock.dll --a---- 247296 bytes [09:42 24/01/2011] [16:02 20/06/2008] F1B67B6B0751AE0E6E964B02821206A3
C:\WINDOWS\ServicePackFiles\i386\mswsock.dll ------- 247296 bytes [02:22 14/04/2008] [02:22 14/04/2008] F12B9D9A069331877D006CC81B4735F9
C:\WINDOWS\system32\mswsock.dll --a---- 247296 bytes [12:00 04/08/2004] [16:02 20/06/2008] F1B67B6B0751AE0E6E964B02821206A3
C:\WINDOWS\system32\dllcache\mswsock.dll -----c- 247296 bytes [17:46 20/06/2008] [16:02 20/06/2008] F1B67B6B0751AE0E6E964B02821206A3
C:\WINDOWS\system32\dllcache\cache\mswsock.dll --a--c- 247296 bytes [06:14 26/08/2009] [17:46 20/06/2008] ACD8BD448A74F344D46FCAF21BAB92AF
========== dir ==========
C:\I386 - Unable to find folder.
C:\windows\I386 - Unable to find folder.
-= EOF =-
|
der vermaledeite Treiber scheint weg zu sein - kannst Du mir noch was zu sptd sagen?
Danke für Deine ganze Mühe!
und besten Gruß
Hans |
