Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Unbekannter Virus (https://www.trojaner-board.de/53264-unbekannter-virus.html)

Mellosun 05.06.2008 22:08
Wo ist die Antwort von Kaspersky zur eingeschickten Datei? Die Analyse sollte schon längst geschehen sein!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Ben11One 06.06.2008 16:35
so alles getan wie gesagt, bevor combofix allerdings nach dem neustart noch nicht ganz fertig war hatte ich noch ein (ich denke) "fake" hinweis:

Warning! Potential Spyware operation!
Your Computer is making unauthorized copies of your system and Internet files.
Run full scan now to prevent any unauthorized accses to your files!
Click here to download spyware remover!
Ja Nein



ich gehe mal davon aus das diese warnung eher von einem virus ausgeht als vom eigenen system?!?!?!! oder?

habe leider keine informationen zu der per e-mail geschickten datei bekommen!

so und hier ist der Log:

Code:
ComboFix 08-06-05.3 - **** 2008-06-06 16:57:39.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.127 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((  Weitere L”schungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM570e9568.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\bmrqfgdr.ini
C:\WINDOWS\system32\ddcBTNEU.dll
C:\WINDOWS\system32\dfrmchsr.ini
C:\WINDOWS\system32\dggykpns.ini
C:\WINDOWS\system32\EgQBHkkj.ini
C:\WINDOWS\system32\EgQBHkkj.ini2
C:\WINDOWS\system32\ENVDLkkj.ini
C:\WINDOWS\system32\ENVDLkkj.ini2
C:\WINDOWS\system32\fwmhkiid.dll
C:\WINDOWS\system32\hpcixmil.dll
C:\WINDOWS\system32\hqtmwdtx.ini
C:\WINDOWS\system32\jkkHBQgE.dll
C:\WINDOWS\system32\jkkLDVNE.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nnnoPJDS.dll
C:\WINDOWS\system32\opnnlMCt.dll
C:\WINDOWS\system32\psrnlons.dll
C:\WINDOWS\system32\qYxFOqru.ini
C:\WINDOWS\system32\qYxFOqru.ini2
C:\WINDOWS\system32\SDJPonnn.ini
C:\WINDOWS\system32\SDJPonnn.ini2
C:\WINDOWS\system32\syntwidj.dll
C:\WINDOWS\system32\tCMlnnpo.ini
C:\WINDOWS\system32\tCMlnnpo.ini2
C:\WINDOWS\system32\UENTBcdd.ini
C:\WINDOWS\system32\UENTBcdd.ini2
C:\WINDOWS\system32\urqOFxYq.dll
C:\WINDOWS\system32\xdayxqyv.dll
C:\WINDOWS\system32\yayxyxWq.dll
C:\WINDOWS\system32\ywgoiafh.ini

.
(((((((((((((((((((((((  Dateien erstellt von 2008-05-06 bis 2008-06-06  ))))))))))))))))))))))))))))))
.

2008-06-06 11:46 . 2008-06-06 11:46        <DIR>        d--------        C:\Programme\CCleaner
2008-06-06 11:26 . 2008-06-06 11:26        134,656        --a------        C:\WINDOWS\system32\kcwkhstu.dll
2008-06-06 11:24 . 2008-06-06 11:24        124,928        --a------        C:\WINDOWS\system32\cguxkywv.dll
2008-06-06 11:20 . 2008-06-06 11:20        19,456        --a------        C:\WINDOWS\system32\drvwuj.dll
2008-06-05 22:13 . 2008-06-05 22:13        117,248        --a------        C:\WINDOWS\system32\xtdwmtqh.dll
2008-06-05 22:10 . 2008-06-05 22:10        133,120        --a------        C:\WINDOWS\system32\cqfijwnc.dll
2008-06-05 22:09 . 2008-06-05 22:09        126,976        --a------        C:\WINDOWS\system32\unoeryvv.dll
2008-06-03 13:55 . 2008-06-03 13:55        19,456        --a------        C:\WINDOWS\system32\drvxup.dll
2008-05-31 14:03 . 2008-05-31 14:03        <DIR>        d--------        C:\Dokumente und Einstellungen\Ilka\Anwendungsdaten\Malwarebytes
2008-05-31 14:00 . 2008-05-31 14:01        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware
2008-05-31 14:00 . 2008-05-31 14:00        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-31 14:00 . 2008-05-30 01:06        34,296        --a------        C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-31 14:00 . 2008-05-30 01:06        15,864        --a------        C:\WINDOWS\system32\drivers\mbam.sys
2008-05-31 10:45 . 2008-05-31 10:45        114,688        --a------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mxgxkjkd.dll
2008-05-31 10:44 . 2008-05-31 10:44        114,688        --a------        C:\WINDOWS\system32\vsykqkkw.dll
2008-05-31 10:41 . 2008-05-31 10:41        31,744        --a------        C:\WINDOWS\system32\winlzi32.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-05 20:22        ---------        d-----w        C:\Programme\ICQToolbar
2008-05-24 06:54        ---------        d-----w        C:\Programme\StarMoney 6.0 S-Edition
2008-04-15 11:01        ---------        d-----w        C:\Programme\AbiSuite2
2008-04-13 17:17        ---------        d-----w        C:\Programme\ICQ6
2008-04-13 16:52        ---------        d-----w        C:\Dokumente und Einstellungen\****\Anwendungsdaten\InstallShield
2008-04-13 16:50        ---------        d-----w        C:\Dokumente und Einstellungen\****\Anwendungsdaten\ICQ
2008-04-13 16:49        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-03-25 04:51        621,344        ----a-w        C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51        187,168        ----a-w        C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03        1,845,376        ----a-w        C:\WINDOWS\system32\win32k.sys
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06DA34C6-0A95-47DA-0225-027F739EF693}]
2008-05-31 10:44        114688        --a------        C:\WINDOWS\system32\vsykqkkw.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30fb29fd-c736-4d82-a188-b7a6d6576724}]
2008-06-06 11:26        134656        --a------        C:\WINDOWS\system32\kcwkhstu.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"vptray"="C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe" [2004-05-20 19:23 90224]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"MSDisp32"="C:\WINDOWS\system32\drvwuj.dll" [2008-06-06 11:20 19456]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-06-12 13:19 1053264]
"BM570e9568"="C:\WINDOWS\system32\cguxkywv.dll" [2008-06-06 11:24 124928]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"sfkyLjmqp1"= C:\WINDOWS\system32\winver.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winlzi32]
winlzi32.dll 2008-05-31 10:41 31744 C:\WINDOWS\system32\winlzi32.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\543da6f4]
--a------ 2008-06-05 22:13 117248 C:\WINDOWS\system32\xtdwmtqh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM570e9568]
--a------ 2008-06-05 22:09 126976 C:\WINDOWS\system32\unoeryvv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSDisp32]
--a------ 2008-06-03 13:55 19456 C:\WINDOWS\system32\drvxup.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=

R1 ATMhelpr;ATMhelpr;C:\WINDOWS\system32\drivers\ATMhelpr.sys [1997-06-17 05:00]
R3 cwbmidi_device;Crystal WDM MPU-401 UART-Treiber;C:\WINDOWS\system32\drivers\cwbmidi.sys [2001-08-17 13:19]
R3 cwbwdm_device;Crystal WDM-Audiocodectreiber;C:\WINDOWS\system32\drivers\cwbwdm.sys [2001-08-17 13:19]
R3 SCR3XX2K;SCR3xx USB SmartCardReader;C:\WINDOWS\system32\DRIVERS\SCR3XX2K.sys [2007-04-25 05:39]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 18:44]
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-05-30 01:06]
S3 STCFUx32;STC DFU Driver;C:\WINDOWS\system32\DRIVERS\STCFUx32.SYS [2007-01-24 03:01]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-08-17 14:43]

.
Inhalt des "geplante Tasks" Ordners
"2008-03-21 14:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-06 17:13:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\winlzi32.dll
-> C:\WINDOWS\system32\NavLogon.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\cguxkywv.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\scardsvr.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-06 17:21:09 - machine was rebooted
ComboFix-quarantined-files.txt  2008-06-06 15:20:10

              11 Verzeichnis(se),  1,603,063,808 Bytes frei
              14 Verzeichnis(se),  1,679,368,192 Bytes frei

169        --- E O F ---        2008-05-28 19:10:05

und nocheinmal ein hijackthis logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:37:30, on 06.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\****\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: (no name) - {06DA34C6-0A95-47DA-0225-027F739EF693} - C:\WINDOWS\system32\vsykqkkw.dll
O2 - BHO: {4276756d-6a7b-881a-28d4-637cdf92bf03} - {30fb29fd-c736-4d82-a188-b7a6d6576724} - C:\WINDOWS\system32\kcwkhstu.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvwuj.dll,startup
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [BM570e9568] Rundll32.exe "C:\WINDOWS\system32\cguxkywv.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [sfkyLjmqp1] C:\WINDOWS\system32\winver.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184005363970
O20 - Winlogon Notify: winlzi32 - C:\WINDOWS\SYSTEM32\winlzi32.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

--
End of file - 4468 bytes
und jetzt? kann die datein grade nicht checken da sich die seiten nicht öffnen lassen... versuche später nochmal die aufälliegen datein zu checken!
Wobei ziehmlich sicher etwas mit diesen datein nicht in ordnung ist!

BataAlexander 06.06.2008 17:00
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
http://www.trojaner-board.de/53264-unbekannter-virus.html

Killall::

Collect::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mxgxkjkd.dll
C:\WINDOWS\system32\vsykqkkw.dll
C:\WINDOWS\system32\winver.exe
C:\WINDOWS\system32\kcwkhstu.dll
C:\WINDOWS\system32\xtdwmtqh.dll
C:\WINDOWS\system32\drvxup.dll
C:\WINDOWS\system32\winlzi32.dll
C:\WINDOWS\system32\unoeryvv.dll
C:\WINDOWS\system32\kcwkhstu.dll
C:\WINDOWS\system32\drvwuj.dll
C:\WINDOWS\system32\xtdwmtqh.dll
C:\WINDOWS\system32\cqfijwnc.dll


Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06DA34C6-0A95-47DA-0225-027F739EF693}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30fb29fd-c736-4d82-a188-b7a6d6576724}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BM570e9568"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"sfkyLjmqp1"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winlzi32]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\543da6f4]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM570e9568]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSDisp32]
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup
http://saved.im/mjk4ndz0cty0_vs/cfcollect.jpg
Dies mit Ok wegklicken und es öffnet sich Dein Browser.
Auf Deinem Desktop ist eine neue .Zip Datei vorhanden ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip). Diese mit Klick auf "Durchsuchen" auswählen und dann "Send" klicken. So kann der Author die Erkennungsroutine des Programms verbessern.

Ben11One 06.06.2008 17:59
so hier der combofix log:
Code:
ComboFix 08-06-05.3 - **** 2008-06-06 18:30:58.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.157 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Ilka\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((  Weitere L”schungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mxgxkjkd.dll
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\cqfijwnc.dll
C:\WINDOWS\system32\drvwuj.dll
C:\WINDOWS\system32\drvxup.dll
C:\WINDOWS\system32\kcwkhstu.dll
C:\WINDOWS\system32\unoeryvv.dll
C:\WINDOWS\system32\vsykqkkw.dll
C:\WINDOWS\system32\winlzi32.dll
C:\WINDOWS\system32\winver.exe
C:\WINDOWS\system32\xtdwmtqh.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2008-05-06 bis 2008-06-06  ))))))))))))))))))))))))))))))
.

2008-06-06 17:20 . 2008-06-06 17:20        0        --a------        C:\WINDOWS\BM570e9568.xml
2008-06-06 11:46 . 2008-06-06 11:46        <DIR>        d--------        C:\Programme\CCleaner
2008-06-06 11:24 . 2008-06-06 11:24        124,928        --a------        C:\WINDOWS\system32\cguxkywv.dll
2008-05-31 14:03 . 2008-05-31 14:03        <DIR>        d--------        C:\Dokumente und Einstellungen\Ilka\Anwendungsdaten\Malwarebytes
2008-05-31 14:00 . 2008-05-31 14:01        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware
2008-05-31 14:00 . 2008-05-31 14:00        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-31 14:00 . 2008-05-30 01:06        34,296        --a------        C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-31 14:00 . 2008-05-30 01:06        15,864        --a------        C:\WINDOWS\system32\drivers\mbam.sys

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-05 20:22        ---------        d-----w        C:\Programme\ICQToolbar
2008-05-24 06:54        ---------        d-----w        C:\Programme\StarMoney 6.0 S-Edition
2008-04-15 11:01        ---------        d-----w        C:\Programme\AbiSuite2
2008-04-13 17:17        ---------        d-----w        C:\Programme\ICQ6
2008-04-13 16:52        ---------        d-----w        C:\Dokumente und Einstellungen\Ilka\Anwendungsdaten\InstallShield
2008-04-13 16:50        ---------        d-----w        C:\Dokumente und Einstellungen\Ilka\Anwendungsdaten\ICQ
2008-04-13 16:49        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-03-25 04:51        621,344        ----a-w        C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51        187,168        ----a-w        C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03        1,845,376        ----a-w        C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((((  snapshot@2008-06-06_17.18.43.12  )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-06 15:10:54        2,048        --s-a-w        C:\WINDOWS\bootstat.dat
+ 2008-06-06 16:35:26        2,048        --s-a-w        C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06DA34C6-0A95-47DA-0225-027F739EF693}]
                        C:\WINDOWS\system32\vsykqkkw.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30fb29fd-c736-4d82-a188-b7a6d6576724}]
                        C:\WINDOWS\system32\kcwkhstu.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"vptray"="C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe" [2004-05-20 19:23 90224]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"MSDisp32"="C:\WINDOWS\system32\drvwuj.dll" [ ]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-06-12 13:19 1053264]
"combofix"="C:\WINDOWS\system32\CF22247.exe" [2004-08-04 00:57 401408]
"BM570e9568"="C:\WINDOWS\system32\cguxkywv.dll" [2008-06-06 11:24 124928]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"sfkyLjmqp1"= C:\WINDOWS\system32\winver.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winlzi32]
winlzi32.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\543da6f4]
C:\WINDOWS\system32\xtdwmtqh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM570e9568]
C:\WINDOWS\system32\unoeryvv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSDisp32]
C:\WINDOWS\system32\drvxup.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=

R1 ATMhelpr;ATMhelpr;C:\WINDOWS\system32\drivers\ATMhelpr.sys [1997-06-17 05:00]
R3 cwbmidi_device;Crystal WDM MPU-401 UART-Treiber;C:\WINDOWS\system32\drivers\cwbmidi.sys [2001-08-17 13:19]
R3 cwbwdm_device;Crystal WDM-Audiocodectreiber;C:\WINDOWS\system32\drivers\cwbwdm.sys [2001-08-17 13:19]
R3 SCR3XX2K;SCR3xx USB SmartCardReader;C:\WINDOWS\system32\DRIVERS\SCR3XX2K.sys [2007-04-25 05:39]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 18:44]
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-05-30 01:06]
S3 STCFUx32;STC DFU Driver;C:\WINDOWS\system32\DRIVERS\STCFUx32.SYS [2007-01-24 03:01]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu.sys [2005-08-17 14:43]

.
Inhalt des "geplante Tasks" Ordners
"2008-03-21 14:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-06 18:39:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINDOWS\system32\winver.exe 5632 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\NavLogon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\scardsvr.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-06 18:44:32 - machine was rebooted
ComboFix-quarantined-files.txt  2008-06-06 16:44:09
ComboFix2.txt  2008-06-06 15:21:13

              11 Verzeichnis(se),  1,668,562,944 Bytes frei
              14 Verzeichnis(se),  1,658,150,912 Bytes frei

144        --- E O F ---        2008-05-28 19:10:05
und nocheinmal hijackthis:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:00:26, on 06.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\****\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvwuj.dll,startup
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184005363970
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

--
End of file - 3953 bytes
so und was passiert nun mit dieser datei?
O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvwuj.dll,startup
oder ist die korrekt?

BataAlexander 06.06.2008 18:23
Reboote bitte den Rechner noch einmal! Combofix sollte erneut starten.

Ben11One 06.06.2008 18:36
fehlanzeigte combofix startet nicht erneut!

Die einziege meldung die erscheint ist:
Fehler beim starten von C:\WINDOWS\system32\drvwuj.dll
das angegebene modul kann nicht starten.

aber wenn ich die jetzt einfach aus dem systemstart nehme ist sie ja rein theoretisch nicht gelöscht? oder??


edit:
habe die datei bei Jotti einmal gecheckt:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file
ist das ein gutes zeichen?

BataAlexander 06.06.2008 18:46
Ok, bitte noch mal mit Combofix
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
KILLALL::

RootKit::
C:\WINDOWS\system32\winlzi32.dll
C:\WINDOWS\system32\winver.exe
C:\WINDOWS\system32\drvwuj.dll
C:\WINDOWS\system32\drvxup.dll
C:\WINDOWS\system32\unoeryvv.dll
C:\WINDOWS\system32\xtdwmtqh.dll
C:\WINDOWS\system32\cguxkywv.dll
C:\WINDOWS\system32\vsykqkkw.dll
C:\WINDOWS\system32\kcwkhstu.dll
C:\WINDOWS\BM570e9568.xml

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06DA34C6-0A95-47DA-0225-027F739EF693}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30fb29fd-c736-4d82-a188-b7a6d6576724}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSDisp32"=-
"combofix"=-
"BM570e9568"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"sfkyLjmqp1"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winlzi32]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\543da6f4]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM570e9568]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSDisp32]
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif


6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Ben11One 06.06.2008 19:26
Code:
ComboFix 08-06-05.3 - **** 2008-06-06 19:55:43.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.115 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\****\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((  Weitere L”schungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM570e9568.xml
C:\WINDOWS\system32\cguxkywv.dll
C:\WINDOWS\system32\drvwuj.dll
C:\WINDOWS\system32\drvxup.dll
C:\WINDOWS\system32\kcwkhstu.dll
C:\WINDOWS\system32\unoeryvv.dll
C:\WINDOWS\system32\vsykqkkw.dll
C:\WINDOWS\system32\winlzi32.dll
C:\WINDOWS\system32\winver.exe
C:\WINDOWS\system32\xtdwmtqh.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2008-05-06 bis 2008-06-06  ))))))))))))))))))))))))))))))
.

2008-06-06 11:46 . 2008-06-06 11:46        <DIR>        d--------        C:\Programme\CCleaner
2008-05-31 14:03 . 2008-05-31 14:03        <DIR>        d--------        C:\Dokumente und Einstellungen\Ilka\Anwendungsdaten\Malwarebytes
2008-05-31 14:00 . 2008-05-31 14:01        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware
2008-05-31 14:00 . 2008-05-31 14:00        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-31 14:00 . 2008-05-30 01:06        34,296        --a------        C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-31 14:00 . 2008-05-30 01:06        15,864        --a------        C:\WINDOWS\system32\drivers\mbam.sys

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-05 20:22        ---------        d-----w        C:\Programme\ICQToolbar
2008-05-24 06:54        ---------        d-----w        C:\Programme\StarMoney 6.0 S-Edition
2008-04-15 11:01        ---------        d-----w        C:\Programme\AbiSuite2
2008-04-13 17:17        ---------        d-----w        C:\Programme\ICQ6
2008-04-13 16:52        ---------        d-----w        C:\Dokumente und Einstellungen\Ilka\Anwendungsdaten\InstallShield
2008-04-13 16:50        ---------        d-----w        C:\Dokumente und Einstellungen\Ilka\Anwendungsdaten\ICQ
2008-04-13 16:49        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-03-25 04:51        621,344        ----a-w        C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51        187,168        ----a-w        C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03        1,845,376        ----a-w        C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((((  snapshot@2008-06-06_17.18.43.12  )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-06 15:10:54        2,048        --s-a-w        C:\WINDOWS\bootstat.dat
+ 2008-06-06 18:01:27        2,048        --s-a-w        C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"vptray"="C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe" [2004-05-20 19:23 90224]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-06-12 13:19 1053264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [ ]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 03:06 40048 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SDTray]
--a------ 2007-06-12 13:19 1053264 C:\Programme\Spyware Doctor\SDTrayApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=

R1 ATMhelpr;ATMhelpr;C:\WINDOWS\system32\drivers\ATMhelpr.sys [1997-06-17 05:00]
R3 cwbmidi_device;Crystal WDM MPU-401 UART-Treiber;C:\WINDOWS\system32\drivers\cwbmidi.sys [2001-08-17 13:19]
R3 cwbwdm_device;Crystal WDM-Audiocodectreiber;C:\WINDOWS\system32\drivers\cwbwdm.sys [2001-08-17 13:19]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 18:44]
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-05-30 01:06]

.
Inhalt des "geplante Tasks" Ordners
"2008-03-21 14:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-06 20:03:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\NavLogon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\scardsvr.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-06 20:13:36 - machine was rebooted
ComboFix-quarantined-files.txt  2008-06-06 18:12:59
ComboFix2.txt  2008-06-06 16:44:34
ComboFix3.txt  2008-06-06 15:21:13

              11 Verzeichnis(se),  1,635,397,632 Bytes frei
              13 Verzeichnis(se),  1,626,693,632 Bytes frei

122        --- E O F ---        2008-05-28 19:10:05
und für die aller letzte sicherheit npocheinmal ein hijackthis log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:20:00, on 06.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\****\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184005363970
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

--
End of file - 3598 bytes

und falls jetzt alles tipp top ist...
ein großes lob das mir dieses Forum mal wieder so viel geholfen hat!!!!
eindeutig das beste das ich kenne!!!
Danke und ein großes lob an Mellosun und für das schnelle weiter helfen auch BataAlexander!!! Danke Danke Danke!

nur eine frage hab ich jetzt noch:
auf dem rechner wird online banking betrieben sollten die passwörter
(und andere die im internet benutz werden) geändert werden oder besteht da in der regel keine gefahr von Missbrauch???

BataAlexander 06.06.2008 19:31
Zitat:
auf dem rechner wird online banking betrieben sollten die passwörter
(und andere die im internet benutz werden) geändert werden oder besteht da in der regel keine gefahr von Missbrauch???
Ich würde raten genau dies zu tun, alle Passwörter ändern und die Kontobewegungen prüfen, wenn etwas Auffällig ist ggf. Tanlisten sperren lassen und neue anfordern.

beide Logs sehen gut aus, bedanken musst Du Dich bei sUbs der Combofix ständig weiter entwickelt.

Eins für Dich noch:

Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Und Spyware Doctor ist nicht das beste Programm...

Ansonsten viel Spaß im Netz, bis bald ;)

Mellosun 06.06.2008 21:11
Danke BetaAlexander für die Übernahme...das mit dem Scripten mit Combofix hab ich noch net ganz so raus!

Gruß Mello

BataAlexander 06.06.2008 21:14
Zitat:
Zitat von Mellosun (Beitrag 343871)
Danke BetaAlexander
Ich bin nicht mehr Beta :teufel2:
Ansonsten aber null Problemo. :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:03 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129