Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Vundo.Gen (https://www.trojaner-board.de/52490-tr-vundo-gen.html)

Extreme 16.05.2008 14:45
TR/Vundo.Gen
 
Hallo, habe mir vorgestern irgendwo den trojaner TR/vundo.gen eingefangen.

Hatte auch das Programm "MalWarrior 2008" .. hab dann nach lösungen gegooglet um das programm zu enfernen aber irgendwie hab ich das gefühl das hat die sache nur verschlechtert denn ab dann kamen alle paar minuten fehlermeldungen, dass ein virus gefunden wurde und ich mir doch bitte für 30 dollar das entsprechende antivirenprogramm kaufen soll.


habe erst ein paar auffällige .dll dateien mit spybot aus meinem systemstartsordner gelöscht ... dann wa soweit alles wieder ok und es kamen auch keine meldungen mehr für etwa 3 stunden. doch nach den 3 stunden meldete sich wieder mein antivir zu wort und zeigte mir an, dass die datei
c:\windows\system32\ljJyVmJa.dll der Trojaner TR/Vundo.Gen ist.
obwohl ich diese datei schon mehrere male mit spybot (auch im abgesicherten modus) aus meiner systemstart liste gelöschth atte, trägt sie sich dort immer wieder erneut ein.

ich erstelle jetz mal die entsprechenden logfiles und poste sie.


habe die scans gemacht und mein antivir findet den trojaner immernoch.

habe mal die zeilen dick hervorgehoben, die den pfad zur befallenen .dll datei angeben.

mfg Extreme

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:37:19, on 16.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\FRAPS\FRAPS.EXE
C:\Programme\Xfire\Xfire.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Fraps] C:\FRAPS\FRAPS.EXE
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3164 bytes


Zitat:
SDFix: Version 1.182
Run by *** on 16.05.2008 at 15:24

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\***\Desktop\sdfix\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\DOKUME~1\***\LOKALE~1\Temp\privacy_danger\index.htm - Deleted
C:\DOKUME~1\***\LOKALE~1\Temp\privacy_danger\images\capt.gif - Deleted
C:\DOKUME~1\***\LOKALE~1\Temp\privacy_danger\images\danger.jpg - Deleted
C:\DOKUME~1\***\LOKALE~1\Temp\privacy_danger\images\down.gif - Deleted
C:\DOKUME~1\***\LOKALE~1\Temp\privacy_danger\images\spacer.gif - Deleted
C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url - Deleted
C:\Dokumente und Einstellungen\***\Favoriten\Privacy Protector.url - Deleted
C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url - Deleted
C:\WINDOWS\mpfanvqg.dll - Deleted
C:\WINDOWS\oadkxrts.exe - Deleted
C:\WINDOWS\rs.txt - Deleted
C:\WINDOWS\system32\hook.dll - Deleted
C:\WINDOWS\vbksrofa.dll - Deleted



Folder C:\DOKUME~1\***\LOKALE~1\Temp\privacy_danger - Removed


Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-05-16 15:32:01
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"="C:\\Programme\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"C:\\Programme\\DNA\\btdna.exe"="C:\\Programme\\DNA\\btdna.exe:*:Enabled:DNA"
"C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\DOKUME~1\***\Desktop\sdfix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Sun 27 Jan 2008 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"

Finished!

Zitat:
ComboFix 08-05-15.3 - *** 2008-05-16 15:54:23.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2600 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\lnpbdoag.ini
C:\WINDOWS\system32\LUFOnnmp.ini
C:\WINDOWS\system32\LUFOnnmp.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mpplnajs.ini
C:\WINDOWS\system32\pmnnOFUL.dll
C:\WINDOWS\system32\xkcmkmwn.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-16 bis 2008-05-16 ))))))))))))))))))))))))))))))
.

2008-05-16 15:37 . 2008-05-16 15:37 <DIR> d-------- C:\Programme\Trend Micro
2008-05-16 15:19 . 2008-05-16 15:19 <DIR> d-------- C:\WINDOWS\ERUNT
2008-05-15 21:51 . 2008-05-15 21:51 91,328 --a------ C:\WINDOWS\system32\sjanlppm.dll
2008-05-14 18:45 . 2008-05-14 18:45 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-05-14 18:45 . 2008-05-14 18:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-14 16:27 . 2008-05-14 19:30 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TmpRecentIcons
2008-05-14 16:17 . 2007-12-21 14:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-14 16:17 . 2007-12-21 14:55 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-05-14 16:17 . 2007-12-21 14:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-14 16:17 . 2007-12-21 14:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-14 16:17 . 2007-12-21 14:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-14 16:17 . 2007-12-21 14:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-14 16:17 . 2007-12-21 14:55 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-14 16:17 . 2008-05-14 16:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-14 16:17 . 2008-05-16 15:54 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT.LOG
2008-05-14 16:00 . 2008-05-14 16:25 <DIR> d-------- C:\Programme\Enigma Software Group
2008-05-14 14:42 . 2008-05-14 14:42 29,824 --a------ C:\WINDOWS\system32\rqRHbCuv.dll
2008-05-14 14:40 . 2008-05-14 14:40 29,824 --a------ C:\WINDOWS\system32\ljJyVmJa.dll
2008-05-14 14:38 . 2008-05-14 14:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
2008-05-10 16:03 . 2008-05-10 16:03 <DIR> d-------- C:\Programme\Zattoo
2008-04-26 20:01 . 2004-08-04 00:58 91,136 --a------ C:\WINDOWS\system32\kswdmcap.ax
2008-04-26 20:01 . 2004-08-04 00:58 91,136 --a--c--- C:\WINDOWS\system32\dllcache\kswdmcap.ax
2008-04-26 20:01 . 2004-08-04 00:58 61,952 --a------ C:\WINDOWS\system32\kstvtune.ax
2008-04-26 20:01 . 2004-08-04 00:58 61,952 --a--c--- C:\WINDOWS\system32\dllcache\kstvtune.ax
2008-04-26 20:01 . 2004-08-04 00:57 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2008-04-26 20:01 . 2004-08-04 00:57 54,272 --a--c--- C:\WINDOWS\system32\dllcache\vfwwdm32.dll
2008-04-26 20:01 . 2004-08-04 00:58 43,008 --a------ C:\WINDOWS\system32\ksxbar.ax
2008-04-26 20:01 . 2004-08-04 00:58 43,008 --a--c--- C:\WINDOWS\system32\dllcache\ksxbar.ax
2008-04-26 20:01 . 2004-08-04 00:58 28,672 --a------ C:\WINDOWS\system32\vidcap.ax
2008-04-26 20:01 . 2004-08-04 00:58 28,672 --a--c--- C:\WINDOWS\system32\dllcache\vidcap.ax
2008-04-26 20:00 . 2008-04-26 20:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\snpstd
2008-04-26 20:00 . 2005-12-06 18:16 390,656 --a------ C:\WINDOWS\system32\drivers\snpstd.sys
2008-04-26 20:00 . 2005-10-11 13:54 339,968 --a------ C:\WINDOWS\vsnpstd.exe
2008-04-26 20:00 . 2005-04-20 17:34 61,440 --a------ C:\WINDOWS\system32\rsnpstd.dll
2008-04-26 20:00 . 2004-02-16 13:59 61,440 --a------ C:\WINDOWS\system32\csnpstd.dll
2008-04-26 20:00 . 2002-07-03 11:44 53,248 --a------ C:\WINDOWS\amcap.exe
2008-04-26 20:00 . 2005-04-20 17:16 36,864 --a------ C:\WINDOWS\system32\vsnpstd.dll
2008-04-26 20:00 . 2005-10-19 19:22 36,864 --a------ C:\WINDOWS\system32\dsnpstd.ax
2008-04-26 20:00 . 2005-02-01 19:29 20,480 --a------ C:\WINDOWS\usnpstd.exe
2008-04-26 20:00 . 2003-01-17 17:34 15,541 --a------ C:\WINDOWS\snpstd.ini
2008-04-26 20:00 . 2003-01-17 17:35 13,023 --a------ C:\WINDOWS\snpstd.src
2008-04-24 17:32 . 2008-04-24 17:46 8 --a------ C:\WINDOWS\system32\nvModes.dat
2008-04-23 00:29 . 2008-04-23 00:29 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-04-22 16:02 . 2008-04-22 16:02 <DIR> d-------- C:\Programme\PremiumSoft
2008-04-22 16:02 . 2006-04-13 11:30 1,073,152 --a------ C:\WINDOWS\system32\libmysql_c.dll
2008-04-21 19:43 . 2008-04-21 19:43 <DIR> d-------- C:\Programme\OpenOffice.org 2.4
2008-04-21 19:31 . 2008-04-21 19:31 <DIR> d-------- C:\Programme\EPSON
2008-04-21 16:43 . 2008-04-21 16:43 <DIR> d-------- C:\Programme\eRightSoft
2008-04-19 17:15 . 2008-04-19 17:15 <DIR> d-------- C:\Programme\Ventrilo
2008-04-19 17:15 . 2008-04-26 18:09 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ventrilo
2008-04-19 17:14 . 2008-04-19 17:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-19 14:29 . 2008-04-19 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
3 Datei(en) . 525,502 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-16 12:01 --------- d-s---w C:\Programme\Xfire
2008-05-14 19:45 --------- d-----w C:\Programme\World of Warcraft
2008-05-14 17:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-14 17:28 --------- d-----w C:\Programme\Winamp
2008-05-14 17:28 --------- d-----w C:\Programme\CyberLink
2008-05-14 15:11 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2
2008-05-14 14:24 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-09 22:49 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\teamspeak2
2008-04-29 16:52 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Xfire
2008-04-23 14:55 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\BitTorrent
2008-04-22 20:41 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp
2008-04-22 14:40 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Audacity
2008-04-21 17:43 --------- d-----w C:\Programme\OpenOffice.org 2.0
2008-04-19 12:07 --------- d-----w C:\Programme\ICQ6
2008-03-30 00:35 --------- d-----w C:\Programme\BitTorrent
2008-03-26 03:30 --------- d-----w C:\Programme\Steam
2008-03-19 16:10 --------- d-----w C:\Programme\P-Player
2008-03-19 00:20 --------- d-----w C:\Programme\FLV Player
2008-02-05 00:10 43,324 ----a-w C:\Dokumente und Einstellungen\***\.cxpg6prf.dat
.

------- Sigcheck -------

2004-08-10 18:11 359040 27a5959c94ee173a063ca06bd14f021a C:\WINDOWS\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4D1277E3-AD9F-4677-A977-725C7E20602D}]
2008-05-14 14:40 29824 --a------ C:\WINDOWS\system32\ljJyVmJa.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Fraps"="C:\FRAPS\FRAPS.EXE" [2004-12-10 14:36 2723840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-03 09:52 16841216 C:\WINDOWS\RTHDCPL.exe]
"Gainward"="C:\WINDOWS\TBPanel.exe" [2007-06-26 08:56 2173480]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-07-23 03:41 8466432]
"nwiz"="nwiz.exe" [2007-07-23 03:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-07-23 03:41 81920]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{4D1277E3-AD9F-4677-A977-725C7E20602D}"= C:\WINDOWS\system32\ljJyVmJa.dll [2008-05-14 14:40 29824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJyVmJa]
ljJyVmJa.dll 2008-05-14 14:40 29824 C:\WINDOWS\system32\ljJyVmJa.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.3iv2"= 3ivxVfWCodec.dll
"VIDC.VP31"= vp31vfw.dll
"msacm.l3fhg"= mp3fhg.acm
"vidc.yv12"= yv12vfw.dll
"msacm.clmp3enc"= C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb]
--a------ 2007-12-18 03:02 471040 C:\Programme\Winamp Remote\bin\OrbTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-12-22 23:46 1266936 C:\Programme\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=

R3 AR5523;Gigaset USB Adapter 108;C:\WINDOWS\system32\DRIVERS\ar5523.sys [2005-07-27 15:11]
R3 SaiM27G Filter;SaiM27G Filter;C:\WINDOWS\system32\Drivers\SaiM27G.sys [2004-11-19 12:39]
S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2007-12-21 15:12]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\AUTORUN.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{852d665c-0718-11dd-9fd1-0001e35b1775}]
\Shell\AutoRun\command - E:\autorun.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-05-16 15:57:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\ljJyVmJa.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-16 16:01:15 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-16 14:00:17

18 Verzeichnis(se), 130,073,915,392 Bytes frei
21 Verzeichnis(se), 130,055,258,112 Bytes frei

176

Sunny 16.05.2008 15:58
Hallo Extreme und

http://www.mysmilie.de/generator/ablage/156/257.png


Da die Dateien noch nicht in implementiert waren, werden wir sie nun zuerst überprüfen lassen:




Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Zitat:
C:\WINDOWS\system32\sjanlppm.dll
C:\WINDOWS\system32\rqRHbCuv.dll
C:\WINDOWS\system32\ljJyVmJa.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)



Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4D1277E3-AD9F-4677-A977-725C7E20602D}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJyVmJa]
[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{4D1277E3-AD9F-4677-A977-725C7E20602D}"=-


FILE::
C:\WINDOWS\system32\sjanlppm.dll
C:\WINDOWS\system32\rqRHbCuv.dll
C:\WINDOWS\system32\ljJyVmJa.dll
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Extreme 16.05.2008 16:29
achja mein antivir findet den trojaner jetz neuerdings auch in anderen dateine, lasse gerade noch Malwarebytes Anti-Malware durchlaufen
hier die ergebnisse:

C:\WINDOWS\system32\sjanlppm.dll

Zitat:
AhnLab-V3 2008.5.16.0 2008.05.16 -
AntiVir 7.8.0.19 2008.05.16 TR/Vundo.Gen
Authentium 5.1.0.4 2008.05.16
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.16 -
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.16 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.16 Trojan-Downloader.Win32.ConHook.rd
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.16 Trojan-Downloader.Win32.ConHook.rd
Ikarus T3.1.1.26.0 2008.05.16 -
Kaspersky 7.0.0.125 2008.05.16 Trojan-Downloader.Win32.ConHook.rd
McAfee 5296 2008.05.16 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3105 2008.05.16 -
Norman 5.80.02 2008.05.16 -
Panda 9.0.0.4 2008.05.15 -
Prevx1 V2 2008.05.16 Cloaked Malware
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.16 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.16 Trojan.Vundo.Gen
weitere Informationen
File size: 29824 bytes
MD5...: f26a000c0da426f5f734f8fb6292f977
SHA1..: fabab0822b139b869ea6443694e1f06fbed6c153
SHA256: 3e57304399fc414bd6cb4f138ec9d3b375fe08685ac6b94638c7f0d58660ca40
SHA512: 94cf112c59d0dbe4dfecae276467b1055f0a55cd9c48a7977e2f1799b05f72be
16e117df1d8d583d574fa19b1b53f1f7511ab093fecd665f4ea113b3cb498907
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001177
timedatestamp.....: 0x4821945b (Wed May 07 11:36:59 2008)
machinetype.......: 0x14c (I386)

( 10 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x2000 4.91 f54d49ea23e1ae80636de38723f22ae0
.reloc 0x3000 0x1000 0xa00 5.01 c40a29951a56de17d48244375e1638ae
.code 0x4000 0x1000 0x600 7.85 456a5bb29a84c1e6ea7ec26165fa6068
.rsrc 0x5000 0x1000 0x200 7.53 cc7c3947c142139931afec6d1cabda44
.idata 0x6000 0x1000 0x600 7.89 9641c21cfdc36532e4531a7c564e3014
DATA 0x7000 0x1000 0x200 7.60 fafc9225f79da4ac20ecacd6c8b8324b
.reloc 0x8000 0x1000 0x400 7.82 bf62c71c1728d420a3262a71d6008b26
CODE 0x9000 0x1000 0xc00 7.94 fef96d9eb572dcb45f98ce0b1bfaed8b
.reloc 0xa000 0x1000 0x600 7.87 e1ebe861cb2cf9ffe0460c07e4c7f0fe
DATA 0xb000 0x5000 0x2080 7.83 f6c97e3b4ca03ec3ef49dea87ccda654

( 5 imports )
> kernel32.dll: GetCurrentThreadId, GetProcAddress, LoadLibraryA, MultiByteToWideChar, VirtualAlloc, VirtualFree, VirtualProtect, WideCharToMultiByte
> user32.dll: BeginPaint, CheckMenuRadioItem, CheckRadioButton, CreateMenu, CreateWindowExA, DestroyCursor, DestroyWindow, EndPaint, ExitWindowsEx, FindWindowExA, GetCapture, GetCursorPos, GetDC, GetSystemMetrics, GetWindow, GetWindowDC, GetWindowDC, GetWindowTextA, GetWindowTextLengthA, InvalidateRect, LoadIconA, LoadStringA, MessageBoxA, PeekMessageA, PostMessageA, PostQuitMessage, RegisterClassA, ReleaseCapture, ReleaseDC, SendMessageA, SetCursor, SetForegroundWindow, SetMenu, SetMenuItemInfoA, SetPropA, SetScrollPos, SetScrollRange, SetSysColors, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA, TranslateMessage, UpdateWindow, ValidateRect, WaitMessage, wvsprintfA
> gdi32.dll: CombineRgn, CreateBrushIndirect, CreateCompatibleBitmap, CreateCompatibleDC, CreateDIBSection, CreateRectRgn, CreateSolidBrush, DeleteDC, DeleteObject, GetDeviceCaps, GetPixel, GetStockObject, MoveToEx, Rectangle, RestoreDC, SaveDC, SelectObject, SetBkColor, SetBkMode, SetBrushOrgEx, SetPixel, SetStretchBltMode, SetTextColor, SetWindowOrgEx, StretchBlt, TextOutA
> shell32.dll: DragAcceptFiles, DragFinish, DragQueryFile, DragQueryPoint
> comdlg32.dll: ChooseColorA, ChooseFontA, GetSaveFileNameA

( 0 exports )
Prevx info: 78465754.SVD - Prevx

Hier der combofix log:

Zitat:
ComboFix 08-05-15.3 - *** 2008-05-16 17:33:55.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2549 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\***\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\ljJyVmJa.dll
C:\WINDOWS\system32\rqRHbCuv.dll
C:\WINDOWS\system32\sjanlppm.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ljJyVmJa.dll
C:\WINDOWS\system32\sjanlppm.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-16 bis 2008-05-16 ))))))))))))))))))))))))))))))
.

2008-05-16 16:16 . 2008-05-16 16:16 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-16 16:16 . 2008-05-16 16:16 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-05-16 16:16 . 2008-05-16 16:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-16 16:16 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-16 16:16 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-16 15:37 . 2008-05-16 15:37 <DIR> d-------- C:\Programme\Trend Micro
2008-05-16 15:19 . 2008-05-16 15:19 <DIR> d-------- C:\WINDOWS\ERUNT
2008-05-14 18:45 . 2008-05-14 18:45 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-05-14 18:45 . 2008-05-14 18:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-14 16:27 . 2008-05-14 19:30 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TmpRecentIcons
2008-05-14 16:17 . 2007-12-21 14:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-14 16:17 . 2007-12-21 14:55 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-05-14 16:17 . 2007-12-21 14:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-14 16:17 . 2008-05-16 16:01 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-14 16:17 . 2007-12-21 14:55 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-14 16:17 . 2007-12-21 14:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-14 16:17 . 2007-12-21 14:55 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-14 16:17 . 2008-05-14 16:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-14 16:17 . 2008-05-16 15:54 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT.LOG
2008-05-14 16:00 . 2008-05-14 16:25 <DIR> d-------- C:\Programme\Enigma Software Group
2008-05-14 14:38 . 2008-05-14 14:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
2008-05-10 16:03 . 2008-05-10 16:03 <DIR> d-------- C:\Programme\Zattoo
2008-04-26 20:01 . 2004-08-04 00:58 91,136 --a------ C:\WINDOWS\system32\kswdmcap.ax
2008-04-26 20:01 . 2004-08-04 00:58 91,136 --a--c--- C:\WINDOWS\system32\dllcache\kswdmcap.ax
2008-04-26 20:01 . 2004-08-04 00:58 61,952 --a------ C:\WINDOWS\system32\kstvtune.ax
2008-04-26 20:01 . 2004-08-04 00:58 61,952 --a--c--- C:\WINDOWS\system32\dllcache\kstvtune.ax
2008-04-26 20:01 . 2004-08-04 00:57 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2008-04-26 20:01 . 2004-08-04 00:57 54,272 --a--c--- C:\WINDOWS\system32\dllcache\vfwwdm32.dll
2008-04-26 20:01 . 2004-08-04 00:58 43,008 --a------ C:\WINDOWS\system32\ksxbar.ax
2008-04-26 20:01 . 2004-08-04 00:58 43,008 --a--c--- C:\WINDOWS\system32\dllcache\ksxbar.ax
2008-04-26 20:01 . 2004-08-04 00:58 28,672 --a------ C:\WINDOWS\system32\vidcap.ax
2008-04-26 20:01 . 2004-08-04 00:58 28,672 --a--c--- C:\WINDOWS\system32\dllcache\vidcap.ax
2008-04-26 20:00 . 2008-04-26 20:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\snpstd
2008-04-26 20:00 . 2005-12-06 18:16 390,656 --a------ C:\WINDOWS\system32\drivers\snpstd.sys
2008-04-26 20:00 . 2005-10-11 13:54 339,968 --a------ C:\WINDOWS\vsnpstd.exe
2008-04-26 20:00 . 2005-04-20 17:34 61,440 --a------ C:\WINDOWS\system32\rsnpstd.dll
2008-04-26 20:00 . 2004-02-16 13:59 61,440 --a------ C:\WINDOWS\system32\csnpstd.dll
2008-04-26 20:00 . 2002-07-03 11:44 53,248 --a------ C:\WINDOWS\amcap.exe
2008-04-26 20:00 . 2005-04-20 17:16 36,864 --a------ C:\WINDOWS\system32\vsnpstd.dll
2008-04-26 20:00 . 2005-10-19 19:22 36,864 --a------ C:\WINDOWS\system32\dsnpstd.ax
2008-04-26 20:00 . 2005-02-01 19:29 20,480 --a------ C:\WINDOWS\usnpstd.exe
2008-04-26 20:00 . 2003-01-17 17:34 15,541 --a------ C:\WINDOWS\snpstd.ini
2008-04-26 20:00 . 2003-01-17 17:35 13,023 --a------ C:\WINDOWS\snpstd.src
2008-04-24 17:32 . 2008-04-24 17:46 8 --a------ C:\WINDOWS\system32\nvModes.dat
2008-04-23 00:29 . 2008-04-23 00:29 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-04-22 16:02 . 2008-04-22 16:02 <DIR> d-------- C:\Programme\PremiumSoft
2008-04-22 16:02 . 2006-04-13 11:30 1,073,152 --a------ C:\WINDOWS\system32\libmysql_c.dll
2008-04-21 19:43 . 2008-04-21 19:43 <DIR> d-------- C:\Programme\OpenOffice.org 2.4
2008-04-21 19:31 . 2008-04-21 19:31 <DIR> d-------- C:\Programme\EPSON
2008-04-21 16:43 . 2008-04-21 16:43 <DIR> d-------- C:\Programme\eRightSoft
2008-04-19 17:15 . 2008-04-19 17:15 <DIR> d-------- C:\Programme\Ventrilo
2008-04-19 17:15 . 2008-04-26 18:09 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ventrilo
2008-04-19 17:14 . 2008-04-19 17:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-19 14:29 . 2008-04-19 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
3 Datei(en) . 525,502 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-16 12:01 --------- d-s---w C:\Programme\Xfire
2008-05-14 19:45 --------- d-----w C:\Programme\World of Warcraft
2008-05-14 17:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-14 17:28 --------- d-----w C:\Programme\Winamp
2008-05-14 17:28 --------- d-----w C:\Programme\CyberLink
2008-05-14 15:11 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2
2008-05-14 14:24 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-09 22:49 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\teamspeak2
2008-04-29 16:52 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Xfire
2008-04-23 14:55 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\BitTorrent
2008-04-22 20:41 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp
2008-04-22 14:40 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Audacity
2008-04-21 17:43 --------- d-----w C:\Programme\OpenOffice.org 2.0
2008-04-19 12:07 --------- d-----w C:\Programme\ICQ6
2008-03-30 00:35 --------- d-----w C:\Programme\BitTorrent
2008-03-26 03:30 --------- d-----w C:\Programme\Steam
2008-03-19 16:10 --------- d-----w C:\Programme\P-Player
2008-03-19 00:20 --------- d-----w C:\Programme\FLV Player
2008-02-05 00:10 43,324 ----a-w C:\Dokumente und Einstellungen\***\.cxpg6prf.dat
.

------- Sigcheck -------

2004-08-10 18:11 359040 27a5959c94ee173a063ca06bd14f021a C:\WINDOWS\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((( snapshot@2008-05-16_16.00.03.75 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-16 13:57:08 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-16 15:38:34 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-16 13:34:47 1,500 ----a-w C:\WINDOWS\UI\BIOSCTL.DAT
+ 2008-05-16 15:39:06 1,500 ----a-w C:\WINDOWS\UI\BIOSCTL.DAT
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Fraps"="C:\FRAPS\FRAPS.EXE" [2004-12-10 14:36 2723840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-03 09:52 16841216 C:\WINDOWS\RTHDCPL.exe]
"Gainward"="C:\WINDOWS\TBPanel.exe" [2007-06-26 08:56 2173480]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-07-23 03:41 8466432]
"nwiz"="nwiz.exe" [2007-07-23 03:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-07-23 03:41 81920]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.3iv2"= 3ivxVfWCodec.dll
"VIDC.VP31"= vp31vfw.dll
"msacm.l3fhg"= mp3fhg.acm
"vidc.yv12"= yv12vfw.dll
"msacm.clmp3enc"= C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb]
--a------ 2007-12-18 03:02 471040 C:\Programme\Winamp Remote\bin\OrbTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-12-22 23:46 1266936 C:\Programme\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=

R3 AR5523;Gigaset USB Adapter 108;C:\WINDOWS\system32\DRIVERS\ar5523.sys [2005-07-27 15:11]
R3 SaiM27G Filter;SaiM27G Filter;C:\WINDOWS\system32\Drivers\SaiM27G.sys [2004-11-19 12:39]
S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2007-12-21 15:12]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\AUTORUN.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{852d665c-0718-11dd-9fd1-0001e35b1775}]
\Shell\AutoRun\command - E:\autorun.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-05-16 17:39:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Xfire\Xfire.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-16 17:41:50 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-16 15:41:47
ComboFix2.txt 2008-05-16 14:01:16

18 Verzeichnis(se), 130,117,853,184 Bytes frei
20 Verzeichnis(se), 130,107,322,368 Bytes frei

178

Sunny 16.05.2008 17:36

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.


Ansonsten, wenn es von deiner Seite keine Probleme mehr gibt, sollte alles wieder in Ordnung sein... ;)

Extreme 16.05.2008 18:05
hehe, hab vielen dank.

hoffentlich gibts kein wiedersehen mehr *zwinka*

also dann,


mfg extreme


*wink*


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:00 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129