Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   worm.win32.netbooster2 (https://www.trojaner-board.de/51590-worm-win32-netbooster2.html)

mikke 15.04.2008 09:53
worm.win32.netbooster2
 
Hallo,
gestern wollte ich mir HD Trailer anschauen und lud mir auf einen Wurm herunter, getarnt als "Video-Codec".

Nun, der Taskmanager ist gesperrt, der Desktophintergrund verschwunden, es gibt drei neue Verknüpfungen zu vermeintlicher Anti-Viren Software, im Systray blinkt hin und wieder ein roter Kreis mit weißem Kreuz - an sich nichts neues.
Was mich allerdings Wundert ist die Tatsache, das mir manchmal erzählt wird ich habe den Netbooster, ein ander Mal den Netbooster2 - von letzterem konnte ich bisher nichts finden.

Dennoch konnte ich mir bisher nicht selber helfen. Dateien, die bei anderen die Verursacher sind existieren bei mir nicht (jedenfalls habe ich sie nicht gefunden).

In der Registry habe ich bereits versucht meinen Taskmanager wieder zum laufen zu bringen mit dem Eintrag 'EnableTaskManager' (bzw so ähnlich), das half aber auch nicht.

Den CC Cleaner habe ich bereits rüberlaufen lassen sowie HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:51:38, on 15.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\WirelessBooster\WBTray.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CCleaner\CCleaner.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: WirelessBooster Component - {7DAAC7DE-9EF0-4FF0-BFA5-AFF3E899054C} - C:\Programme\WirelessBooster\TweakBHO.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: DVA Storm - {D3593B96-4822-434E-82B4-A54C29FCC7F5} - C:\WINDOWS\lgmxvpatdbr.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: qtvglped - {41B15C1C-2C15-49E4-B6A4-C940F885290E} - C:\WINDOWS\qtvglped.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TweakMASTER] C:\Programme\WirelessBooster\WBTray.exe
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{422D6C12-30FB-4BB3-9562-55A4C39B196E}: NameServer = 192.168.2.1
O21 - SSODL: pmsoarbf - {1357653C-F55E-4947-86D5-ABA9F00DC55B} - C:\WINDOWS\pmsoarbf.dll
O21 - SSODL: omlbpkaw - {04F8EE27-9DE6-42BE-8AF7-BEEA8E163E8C} - C:\WINDOWS\omlbpkaw.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 6311 bytes



Vielen Dank schonmal für eine Hilfestellung!

mikke

Sabina 15.04.2008 10:10
Hallo,

1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.
Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = softwarereferral.co/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: WirelessBooster Component - {7DAAC7DE-9EF0-4FF0-BFA5-AFF3E899054C} - C:\Programme\WirelessBooster\TweakBHO.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: DVA Storm - {D3593B96-4822-434E-82B4-A54C29FCC7F5} - C:\WINDOWS\lgmxvpatdbr.dll

O3 - Toolbar: qtvglped - {41B15C1C-2C15-49E4-B6A4-C940F885290E} - C:\WINDOWS\qtvglped.dll

O4 - HKLM\..\Run: [TweakMASTER] C:\Programme\WirelessBooster\WBTray.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O21 - SSODL: pmsoarbf - {1357653C-F55E-4947-86D5-ABA9F00DC55B} - C:\WINDOWS\pmsoarbf.dll

O21 - SSODL: omlbpkaw - {04F8EE27-9DE6-42BE-8AF7-BEEA8E163E8C} - C:\WINDOWS\omlbpkaw.dll

O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
2.
scanne mit RVAXO - poste hier den report
RVAXO

3.
smitfraudfix (Option2 ) anwenden « poste hier den report
SmitfraudFix

4.
lade Combofix (Warnmeldung wegklicken ) « poste den Report hier
combofix


Gruss
Sabina

mikke 15.04.2008 10:55
Super Vielen Dank!

WirelessBooster ist ein definitiv von mir installiertes Programm, somit habe ich dagegen nichts unternommen.

Die Berichte:

Code:
---RVAXO.exe Updated: 2008-04-15---first run---
Uninstallers:
 
Files found:
C:\WINDOWS\rs.txt
C:\WINDOWS\qtvglped.dll
C:\WINDOWS\omlbpkaw.dll
C:\WINDOWS\pmsoarbf.dll
C:\Dokumente und Einstellungen\mikke\Local Settings\Temp\PxCpyA64.exe
C:\Dokumente und Einstellungen\mikke\Local Settings\Temp\PxCpyI64.exe
C:\Dokumente und Einstellungen\mikke\Local Settings\Temp\pxhpinst.exe
C:\Dokumente und Einstellungen\mikke\Local Settings\Temp\PxInsA64.exe
C:\Dokumente und Einstellungen\mikke\Local Settings\Temp\PxInsI64.exe
C:\Dokumente und Einstellungen\mikke\Local Settings\Temp\pxsetup.exe
C:\Dokumente und Einstellungen\mikke\Local Settings\Temp\_is1E.exe
C:\Dokumente und Einstellungen\mikke\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\mikke\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\mikke\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\mikke\FAVORI~1\Error Cleaner.url
C:\Dokumente und Einstellungen\mikke\FAVORI~1\Privacy Protector.url
C:\Dokumente und Einstellungen\mikke\FAVORI~1\Spyware&Malware Protection.url
 
Folders Found:
 
Hosts-file was reset, If you use a custom hosts file please replace it...
 
--------------RVAXO.exe last run---------------
Not deleted items:
 
--------------RVAXO.exe finished----------------
Code:
SmitFraudFix v2.314

Scan done at 11:40:32,39, 15.04.2008
Run from C:\Dokumente und Einstellungen\mikke\Eigene Dateien\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{422D6C12-30FB-4BB3-9562-55A4C39B196E}: NameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6261B6CB-3BC2-4351-A2D4-8CE9E97828A5}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{BFC9BB17-E16C-4282-BBB7-BA0E19ADD46E}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{422D6C12-30FB-4BB3-9562-55A4C39B196E}: NameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6261B6CB-3BC2-4351-A2D4-8CE9E97828A5}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BFC9BB17-E16C-4282-BBB7-BA0E19ADD46E}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{422D6C12-30FB-4BB3-9562-55A4C39B196E}: NameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6261B6CB-3BC2-4351-A2D4-8CE9E97828A5}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{BFC9BB17-E16C-4282-BBB7-BA0E19ADD46E}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done.
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Code:
ComboFix 08-04-14.2 - mikke 2008-04-15 11:44:17.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1574 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\mikke\Eigene Dateien\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((  Weitere L”schungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((  Drivers/Services  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


(((((((((((((((((((((((  Dateien erstellt von 2008-03-15 bis 2008-04-15  ))))))))))))))))))))))))))))))
.

2008-04-15 11:40 . 2007-09-06 00:22        289,144        --a------        C:\WINDOWS\system32\VCCLSID.exe
2008-04-15 11:40 . 2006-04-27 17:49        288,417        --a------        C:\WINDOWS\system32\SrchSTS.exe
2008-04-15 11:40 . 2008-04-14 19:28        86,528        --a------        C:\WINDOWS\system32\VACFix.exe
2008-04-15 11:40 . 2008-04-12 13:49        82,432        --a------        C:\WINDOWS\system32\IEDFix.exe
2008-04-15 11:40 . 2003-06-05 21:13        53,248        --a------        C:\WINDOWS\system32\Process.exe
2008-04-15 11:40 . 2004-07-31 18:50        51,200        --a------        C:\WINDOWS\system32\dumphive.exe
2008-04-15 11:40 . 2007-10-04 00:36        25,600        --a------        C:\WINDOWS\system32\WS2Fix.exe
2008-04-15 11:40 . 2008-04-15 11:40        2,204        --a------        C:\WINDOWS\system32\tmp.reg
2008-04-15 11:32 . 2008-04-15 11:33        <DIR>        d--------        C:\RVAXO
2008-04-15 11:24 . 2008-04-15 00:08        790,514        --a------        C:\WINDOWS\system32\RVAXO.bat
2008-04-15 11:24 . 2001-10-01 14:51        69,632        --a------        C:\WINDOWS\system32\remove.exe
2008-04-15 11:00 . 2008-04-15 11:00        <DIR>        d--------        C:\Programme\Zattoo
2008-04-15 10:26 . 2008-04-15 10:26        <DIR>        d--------        C:\Programme\CCleaner
2008-04-14 22:25 . 2008-04-15 11:18        <DIR>        d--------        C:\Dokumente und Einstellungen\mikke\Anwendungsdaten\TmpRecentIcons
2008-04-14 21:19 . 2008-04-14 21:19        <DIR>        d--------        C:\Programme\Trend Micro
2008-04-14 20:29 . 2008-04-14 18:49        94,208        --a------        C:\WINDOWS\npqtsrak.exe
2008-04-14 20:29 . 2008-04-14 18:49        81,920        --a------        C:\WINDOWS\rtqmekwg.exe
2008-04-14 14:43 . 2008-04-15 10:05        54,156        --ah-----        C:\WINDOWS\QTFont.qfn
2008-04-14 14:43 . 2008-04-14 14:43        1,409        --a------        C:\WINDOWS\QTFont.for
2008-04-11 11:41 . 2008-04-11 11:41        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-04-11 11:39 . 2008-04-11 11:39        <DIR>        d--------        C:\Programme\Bonjour
2008-04-11 11:30 . 2008-04-11 11:30        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-04-09 10:59 . 2008-04-09 11:00        <DIR>        d--------        C:\Dokumente und Einstellungen\mikke\Anwendungsdaten\Miranda
2008-04-09 09:48 . 2008-04-09 09:48        <DIR>        d--h-----        C:\WINDOWS\PIF
2008-04-06 22:36 . 2008-04-06 22:36        <DIR>        d--------        C:\Programme\QIP Infium
2008-04-05 16:53 . 2008-04-05 16:53        <DIR>        d--------        C:\Programme\WirelessBooster
2008-04-05 16:53 . 2008-04-05 16:53        <DIR>        d--------        C:\Programme\DU Meter
2008-04-05 16:53 . 2008-04-05 16:53        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hagel Technologies
2008-03-20 22:08 . 2008-03-20 22:08        8,916,992        --a------        C:\t002.mpg

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-15 08:40        ---------        d-----w        C:\Programme\Mozilla Thunderbird
2008-04-13 10:01        ---------        d-----w        C:\Programme\SFT Loader
2008-04-13 08:55        ---------        d-----w        C:\Dokumente und Einstellungen\mikke\Anwendungsdaten\OpenOffice.org2
2008-04-11 09:39        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe
2008-03-28 12:53        ---------        d-----w        C:\Programme\UltraStar Deluxe
2008-03-11 14:21        ---------        d-----w        C:\Programme\Star Alliance Mileage Calculator
2008-03-07 18:51        ---------        d-----w        C:\Programme\Deutschlands Brettspiele Deluxe
2008-03-03 16:20        ---------        d-----w        C:\Programme\Hama
2008-02-26 19:09        ---------        d-----w        C:\Programme\Real Alternative
2008-02-24 15:41        ---------        d-----w        C:\Programme\Medieval Software
2008-02-21 15:54        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-02-21 15:54        ---------        d-----w        C:\Programme\Buhl
2008-02-21 11:05        ---------        d-----w        C:\Programme\DTV
2008-02-21 11:04        720,896        ----a-w        C:\WINDOWS\iun6002.exe
2008-02-19 11:04        ---------        d-----w        C:\Dokumente und Einstellungen\mikke\Anwendungsdaten\Media Player Classic
2008-02-19 11:01        ---------        d-----w        C:\Programme\K-Lite Codec Pack
2008-02-19 09:38        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-02-19 09:38        ---------        d-----w        C:\Programme\Creative
2008-02-18 16:30        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Creative
2008-02-18 16:29        ---------        d-----w        C:\Programme\Elecard
2008-02-16 18:53        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
2008-02-16 18:41        ---------        d-----w        C:\Dokumente und Einstellungen\mikke\Anwendungsdaten\ATI
2008-02-16 18:36        ---------        d-----w        C:\Programme\ATI Technologies
2008-02-16 16:44        ---------        d-----w        C:\Dokumente und Einstellungen\mikke\Anwendungsdaten\Tunebite
2008-02-16 10:06        ---------        d-----w        C:\Dokumente und Einstellungen\mikke\Anwendungsdaten\RTPlayer
2008-02-16 10:01        ---------        d-----w        C:\Programme\PixiePack Codec Pack
2008-02-16 09:57        ---------        d-----w        C:\Programme\RapidSolution
2008-01-21 15:24        53,248        ----a-w        C:\WINDOWS\PalmDevC.dll
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ptipbmf"="ptipbmf.dll" [2003-06-20 09:06 118784 C:\WINDOWS\system32\ptipbmf.dll]
"AudioDrvEmulator"="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [ ]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-07 11:27 249896]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 14:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"TweakMASTER"="C:\Programme\WirelessBooster\WBTray.exe" [2004-10-22 18:25 289280]
"DU Meter"="C:\Programme\DU Meter\DUMeter.exe" [2004-10-22 18:25 1474560]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HOTSYNCSHORTCUTNAME.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HOTSYNCSHORTCUTNAME.lnk
backup=C:\WINDOWS\pss\HOTSYNCSHORTCUTNAME.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^mikke^Startmenü^Programme^Autostart^OpenOffice.org 2.1.lnk]
path=C:\Dokumente und Einstellungen\mikke\Startmenü\Programme\Autostart\OpenOffice.org 2.1.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.1.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^mikke^Startmenü^Programme^Autostart^palmOne Registration.lnk]
path=C:\Dokumente und Einstellungen\mikke\Startmenü\Programme\Autostart\palmOne Registration.lnk
backup=C:\WINDOWS\pss\palmOne Registration.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^mikke^Startmenü^Programme^Autostart^WISO Bewerbung-Reminder.lnk]
path=C:\Dokumente und Einstellungen\mikke\Startmenü\Programme\Autostart\WISO Bewerbung-Reminder.lnk
backup=C:\WINDOWS\pss\WISO Bewerbung-Reminder.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
-ra------ 2007-12-04 02:07 61440 C:\Programme\Adobe\Adobe Photoshop Lightroom 1.3\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
--a------ 2006-01-02 17:41 45056 C:\Programme\ATI Technologies\ATI.ACE\cli.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
--a------ 2005-04-08 12:00 512000 C:\Programme\VIAudioi\SBADeck\ADeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-04-04 00:29 165784 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus D88 Series]
--a------ 2005-01-27 07:00 98304 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-01-15 04:22 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-10 16:27 385024 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-02-26 10:53 65024 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 02:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tunebite]
C:\Programme\RapidSolution\Tunebite\Tunebite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
Z:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AdobeUpdateManager.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Zeug\\Software\\Miranda IM\\miranda32.exe"=
"C:\\Programme\\SFT Loader\\leecher.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\FlashGet\\flashget.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\QIP\\qip.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo2.exe"=

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2007-09-21 18:49]
R3 DTT200U;DTT200U DVB-T USB receiver Driver;C:\WINDOWS\system32\Drivers\DTT200U.sys [2004-09-06 14:40]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 19:44]
S3 BTCAMDRV;Mobiola Web Camera driver;C:\WINDOWS\system32\DRIVERS\BTCamDrv.sys [2006-11-01 19:45]
S3 DTT200ULD;DTT200U DVB-T USB receiver firmware loader;C:\WINDOWS\system32\Drivers\DTT200ULD.sys [2004-10-01 12:59]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 15:18]
S3 ha20x2k;Creative 20X HAL Driver;C:\WINDOWS\system32\drivers\ha20x2k.sys []
S3 TIACXLN;22M WLAN Adapter;C:\WINDOWS\system32\DRIVERS\tiacxln.sys [2002-12-20 16:01]
S3 UPnPService;UPnPService;C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 17:00]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-10-28 05:38]
S3 zlportio;zlportio;C:\Programme\UltraStar Deluxe\zlportio.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\M]
\Shell\AutoRun\command - M:\Setup.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
C:\Programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-04-03 17:33:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-15 11:47:57
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-15 11:53:19 - machine was rebooted
ComboFix-quarantined-files.txt  2008-04-15 09:53:06

              20 Verzeichnis(se), 47,804,211,200 Bytes frei
              22 Verzeichnis(se), 48,511,078,400 Bytes frei
.
2008-04-10 22:19:46        --- E O F ---

Sabina 15.04.2008 11:20
Hallo,

ich denke inzwischen auch, dass WirelessBooster o.k. ist, auf jeden Fall wird es von seriösen Anbietern gehostet.. dennoch hab ich es erst mal mit rausnehmen lassen, weil ich mir nicht sicher bin.

1.
OTMoveIt
OTMoveIt by OldTimer
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move
Klicke auf den Roten MoveIt!

Zitat:
C:\WINDOWS\npqtsrak.exe
C:\WINDOWS\rtqmekwg.exe
2.
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

3.
OTMoveIt
klicken: CleanUp! button
Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes
so wird von OTMoveIt2 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden.

4.
wende CCleaner an - noch mal, denn du hast es ja schon geladen...
CCleaner

5.
scanne Online mit Bitdefender
Online Virenscanner

dann sollte wieder alles o.k. sein :)



Gruss
Sabina

mikke 15.04.2008 12:44
Super! Vielen Dank für die kompetenten Antworten. Jeden Tag eine gute Tat - du hast sie für heute erfüllt!

Liebe Grüße
mikke


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:47 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129