|
Antivir XP 2008 wieder mal einen erwischt Hallo an die Experten! Auch mich hat der Virus erwischt, einen Freund drangelassen und nach einer Stunde hatte der Computer den Virus XP Virus 2008...:sleepy: Dank DaGuRu Tipp habe ich Malware installiert und Scan durchgeführt, alles Gefundene gelöscht und Scanbericht angefertigt. Viren dann weg, aber sobald ich online gehe, egal ob Internet Explorer ( hier erscheint immer google.com als Starseite, habe aber leere Seite als Startseite...bei Firefox keine Auffälligkeit, jedoch nach kurzer Zeit kommen wieder die Viruspopups...jetzt passiert es sogar, das sich der Computer nach ca. 30-40 Minuten runterfährt. Da ich Laie bin, hoffe ich auf prof. Hilfe. Hier der Scanbercht: Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1036 Windows 5.1.2600 Service Pack 2 21:13:51 11.08.2008 mbam-log-8-11-2008 (21-13-51).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|) Durchsuchte Objekte: 94963 Laufzeit: 29 minute(s), 0 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 8 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\uninstall (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\karina.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\karina.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully. C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully. C:\WINDOWS\system32\braviax.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\buritos.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\WINDOWS\system32\buritos.exe (Trojan.FakeAlert) -> Delete on reboot. C:\Dokumente und Einstellungen\Kim Ole Andersen\delself.bat (Malware.Trace) -> Quarantined and deleted successfully. Auffällig ist auch, das "buritos" zwar gelöscht wird, jedoch immer wieder auftaucht.:headbang: Danke für eine Antwort!:aplaus: Es grüßt der Kim Ole |
Nochmal ich...habe nachdem ich hijack erst heruntergeladen habe und nicht benutzen konnte, zweimal den Computer runtergefahren und malwar durchgejagd, jetzt ging es, hier das Protokoll: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:24:21, on 12.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ingxydwf\azqryvct.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\Programme\Winamp\winampa.exe C:\Programme\HHVcdV6Sys\VC6Play.exe C:\Programme\Browser Mouse\mouse32a.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\zalkpilw.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Virtual CD v6\System\VC6Tray.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\HHVcdV6Sys\VC6SecS.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\FRITZ!DSL\fritzdsl.exe C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe C:\Program Files\Trend Micro\test.com\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www.ewetel.net/proxy.pac R3 - URLSearchHook: (no name) - {2C0A14D5-2633-3189-B049-AA8907B77F48} - StartCpl.dll (file missing) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [VC6Player] C:\Programme\HHVcdV6Sys\VC6Play.exe O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser Mouse\mouse32a.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ChkAct] C:\WINDOWS\system32\zalkpilw.exe O4 - HKCU\..\Run: [UtilApl] C:\WINDOWS\system32\afubsbcz.exe O4 - HKCU\..\Run: [InfoApl] C:\WINDOWS\system32\bkzcrwpm.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKLM\..\Policies\Explorer\Run: [rF2UOt5YVu] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ingxydwf\azqryvct.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133826794828 O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37710.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - AppInit_DLLs: karina.dat O21 - SSODL: SetEnHlp - {2F3DC1AF-DEF9-A75F-0DB9-0936E294A69E} - \sktrzjc\SetEnHlp.dll O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe -- End of file - 6215 bytes Ich vermute als Laie hier einen Fehler: O20 - AppInit_DLLs: karina.dat:koch: Aber, da nur kurz eingelesen, nichts genaues weiß man nicht, bitte um Hilfe. Ich bin lernfähig, falls weitere Hinweise gebraucht werden, bitte um Mitteilung. Vielen Dank! Gute Nacht... Kim Ole |
Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Falls alles erkannt wurde Combofix downloaden, MAM updaten und Offline gehen! Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://swandog46.geekstogo.com/res/images/avenger.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: 3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: O4 - HKCU\..\Run: [ChkAct] C:\WINDOWS\system32\zalkpilw.exeDanach bitte Combofix und noch mal MAM laufen lassen und Log sowie ein neues HJ-Log posten; Combofix Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird Chris |
Hi, Chris! Vielen Dank für die Hilfestellung!!!:daumenhoc Werde es heute abend ausprobieren, da noch auf Arbeit und Ergebnis posten. Gruß! Kim Ole |
Hi, möglichst nur sehr kurz mit dem infizierten Rechner online gehen, ich hatte schon fälle wo sich immer mehr nachgeladen hat und die Logs beim Posten schon veraltet waren (weil sich inzwischen schon was neues auf dem Rechner "tummelte"). Das gibt dann unendliche "Runden"... chris |
Hi, again! Yepp, das hatte ich gestern bereits festgestellt, er "donnert" immer nach... Werde deinen Rat befolgen! Danke! See u later! Kim Ole |
by the way, wäre es wohl am besten, erst alle benötigten Programme down zu loaden und dann deiner Anweisung zu folgen, nachdem ich dann MAM nochjmal durchgejags habe? Auch nach virustotal online check lieber MAM durchjagen? Merci! Kim Ole |
Hi, wichtig ist, dass zwischen combofix und MAM keine "Online-Lücke" ist. Danach ein HJ-Log (die Logsdas dann am besten über einen anderen Rechner posten). Wenn das OK ist, kann wieder online gegangen werden. Das wäre das optimale... Wobei ich erst wieder morgen früh verfügbar bin... Jetzt wartet erstmal eine Fete auf mich... Täääärööööö! chris (und wech!) |
Guten Morgen, Chris! Ja, Party on! Hier habe dank deiner verständlichen Anleitung alles brav abgewickelt. Es scheint zu funzen, hier die Protokolle: Avenger Log: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File "C:\WINDOWS\system32\zalkpilw.exe" deleted successfully. File "C:\WINDOWS\system32\afubsbcz.exe" deleted successfully. File "C:\WINDOWS\system32\bkzcrwpm.exe" deleted successfully. File "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ingxydwf\azqryvct.exe" deleted successfully. Error: file "C:\WINDOWS\system32\karina.dat" not found! Deletion of file "C:\WINDOWS\system32\karina.dat" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not open file "C:\WINDOWS\system32\sktrzjc\SetEnHlp.dll" Deletion of file "C:\WINDOWS\system32\sktrzjc\SetEnHlp.dll" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ingxydwf" deleted successfully. Error: folder "C:\WINDOWS\system32\sktrzjc" not found! Deletion of folder "C:\WINDOWS\system32\sktrzjc" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully. Completed script processing. ******************* Finished! Terminate COMBOFIX LOG: ComboFix 08-08-11.01 - Kim Ole Andersen 2008-08-12 18:48:08.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.217 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Kim Ole Andersen\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\XPSecurityCenter C:\WINDOWS\system32\camoc.dll C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML c:\windows\system32\Drivers\Lsb21.sys . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_LSB21 -------\Service_Lsb21 ((((((((((((((((((((((( Dateien erstellt von 2008-07-12 bis 2008-08-12 )))))))))))))))))))))))))))))) . 2008-08-12 18:47 . 2008-08-12 18:52 <DIR> d-------- C:\ComboFix 2008-08-12 18:47 . 2008-08-12 18:52 <DIR> d-------- C:\ComboFix 2008-08-12 17:51 . 2008-08-12 17:51 130,048 --a------ C:\WINDOWS\system32\xajqtilm.exe 2008-08-12 17:51 . 2008-08-12 17:51 81,920 --a------ C:\WINDOWS\system32\psdwjmpu.exe 2008-08-12 17:36 . 2008-08-12 18:48 <DIR> d-------- C:\QooBox 2008-08-12 17:36 . 2008-08-12 18:48 <DIR> d-------- C:\QooBox 2008-08-12 02:41 . 2008-08-12 02:41 94,208 --a------ C:\WINDOWS\system32\bmngvmxe.exe 2008-08-12 02:41 . 2008-08-12 02:41 42,496 --a------ C:\WINDOWS\system32\teharalq.exe 2008-08-11 22:20 . 2008-08-11 22:20 <DIR> d-------- C:\sktrzjc 2008-08-11 22:20 . 2008-08-11 22:20 <DIR> d-------- C:\sktrzjc 2008-08-11 22:20 . 2008-08-11 22:20 <DIR> d-------- C:\sktrzjc 2008-08-11 21:47 . 2008-08-11 21:47 42,496 --a------ C:\WINDOWS\system32\nwzcdwvg.exe 2008-08-11 21:17 . 2004-08-04 14:00 4,224 --a------ C:\WINDOWS\system32\drivers\beep.sys 2008-08-11 21:17 . 2004-08-04 14:00 4,224 --a--c--- C:\WINDOWS\system32\dllcache\beep.sys 2008-08-11 20:42 . 2008-08-11 20:42 42,496 --a------ C:\WINDOWS\system32\lwbwnifw.exe 2008-08-11 19:36 . 2008-08-11 19:36 42,496 --a------ C:\WINDOWS\system32\lyfinkly.exe 2008-08-10 18:31 . 2008-08-10 18:31 42,496 --a------ C:\WINDOWS\system32\wjixehmz.exe 2008-08-10 17:58 . 2008-08-10 17:58 42,496 --a------ C:\WINDOWS\system32\ahodctwv.exe 2008-08-10 16:54 . 2008-08-10 16:54 42,496 --a------ C:\WINDOWS\system32\zydkjuvy.exe 2008-08-10 15:48 . 2008-08-10 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\Kim Ole Andersen\Anwendungsdaten\Malwarebytes 2008-08-10 15:48 . 2008-08-10 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-10 15:48 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-10 15:48 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-10 09:59 . 2008-08-10 09:59 17,199 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bywuzu.vbs 2008-08-10 09:59 . 2008-08-10 09:59 16,946 --a------ C:\wydi.dll 2008-08-10 09:59 . 2008-08-10 09:59 16,946 --a------ C:\wydi.dll 2008-08-10 09:59 . 2008-08-10 09:59 14,925 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kuxu.vbs 2008-08-10 09:59 . 2008-08-10 09:59 14,871 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jega.reg 2008-08-10 09:59 . 2008-08-10 09:59 12,499 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zudifesyjo.dat 2008-08-10 09:59 . 2008-08-10 09:59 12,060 --a------ C:\kinaz.dat 2008-08-10 09:59 . 2008-08-10 09:59 12,060 --a------ C:\kinaz.dat 2008-08-10 09:03 . 2008-08-10 09:03 19,043 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nacokod.bat 2008-08-10 09:03 . 2008-08-10 09:03 18,931 --a------ C:\WINDOWS\system32\pewicyjev.bin 2008-08-10 09:03 . 2008-08-10 09:03 18,271 --a------ C:\cony.sys 2008-08-10 09:03 . 2008-08-10 09:03 18,271 --a------ C:\cony.sys 2008-08-10 09:03 . 2008-08-10 09:03 15,076 --a------ C:\letiqiwoke.dll 2008-08-10 09:03 . 2008-08-10 09:03 15,076 --a------ C:\letiqiwoke.dll 2008-08-10 09:03 . 2008-08-10 09:03 14,290 --a------ C:\icadi.pif 2008-08-10 09:03 . 2008-08-10 09:03 14,290 --a------ C:\icadi.pif 2008-08-10 09:03 . 2008-08-10 09:03 14,119 --a------ C:\givyla.dll 2008-08-10 09:03 . 2008-08-10 09:03 14,119 --a------ C:\givyla.dll 2008-08-10 09:03 . 2008-08-10 09:03 11,756 --a------ C:\pocety.scr 2008-08-10 09:03 . 2008-08-10 09:03 11,756 --a------ C:\pocety.scr 2008-08-10 09:03 . 2008-08-10 09:03 11,357 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\apyfi.pif 2008-08-10 08:34 . 2008-08-10 08:34 <DIR> d-------- C:\xbmkhuf 2008-08-10 08:34 . 2008-08-10 08:34 <DIR> d-------- C:\xbmkhuf 2008-08-10 08:34 . 2008-08-10 08:34 <DIR> d-------- C:\xbmkhuf 2008-08-10 08:33 . 2008-08-10 08:33 102,400 --a------ C:\WINDOWS\system32\mbajozup.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . d-----w 0 2008-08-12 16:52:31 \ComboFix d-----w 0 2008-08-12 16:52:31 \ComboFix d-----w 0 2008-08-12 16:51:53 \WINDOWS d-----w 0 2008-08-12 16:51:53 \WINDOWS d-----w 0 2008-08-12 16:48:29 \QooBox d-----w 0 2008-08-12 16:48:29 \QooBox d-----w 0 2008-08-11 20:47:42 \Program Files d-----w 0 2008-08-11 20:47:42 \Program Files d-----w 0 2008-08-11 20:20:56 \sktrzjc d-----w 0 2008-08-11 20:20:56 \sktrzjc d-----w 0 2008-08-10 06:34:09 \xbmkhuf d-----w 0 2008-08-10 06:34:09 \xbmkhuf 2008-08-12 00:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-08-10 07:59 16,946 ----a-w C:\wydi.dll 2008-08-10 07:59 13,650 ----a-w C:\WINDOWS\disabuwef.sys 2008-08-10 07:59 12,060 ----a-w C:\kinaz.dat 2008-08-10 07:59 10,979 ----a-w C:\WINDOWS\ycateqy.exe 2008-08-10 07:03 18,271 ----a-w C:\cony.sys 2008-08-10 07:03 18,117 ----a-w C:\WINDOWS\onakeril.com 2008-08-10 07:03 15,076 ----a-w C:\letiqiwoke.dll 2008-08-10 07:03 15,059 ----a-w C:\WINDOWS\kopasev.bat 2008-08-10 07:03 14,290 ----a-w C:\icadi.pif 2008-08-10 07:03 14,119 ----a-w C:\givyla.dll 2008-08-10 07:03 13,133 ----a-w C:\WINDOWS\igypa.pif 2008-08-10 07:03 11,756 ----a-w C:\pocety.scr 2008-08-10 07:03 11,110 ----a-w C:\WINDOWS\yrosagu.exe 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys --sha-w 792,723,456 2008-08-12 16:51:29 \pagefile.sys --sha-w 792,723,456 2008-08-12 16:51:29 \pagefile.sys --sha-w 527,941,632 2008-08-12 16:51:30 \hiberfil.sys --sha-w 527,941,632 2008-08-12 16:51:30 \hiberfil.sys --sha-r 251,184 2004-08-04 12:00:00 \ntldr --sha-r 251,184 2004-08-04 12:00:00 \ntldr --sha-r 47,564 2004-08-04 12:00:00 \NTDETECT.COM --sha-r 47,564 2004-08-04 12:00:00 \NTDETECT.COM --sha-r 4,952 2004-08-04 12:00:00 \bootfont.bin --sha-r 4,952 2004-08-04 12:00:00 \bootfont.bin --sha-r 211 2005-11-30 21:57:20 \boot.ini --sha-r 211 2005-11-30 21:57:20 \boot.ini --sha-r 0 2005-06-07 14:05:44 \MSDOS.SYS --sha-r 0 2005-06-07 14:05:44 \MSDOS.SYS --sha-r 0 2005-06-07 14:05:44 \IO.SYS --sha-r 0 2005-06-07 14:05:44 \IO.SYS 2005-06-08 06:07 8 --sh--r C:\WINDOWS\system32\38B25DE429.sys 2005-06-08 06:07 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 09:42 2156368] "StrGenSys"="C:\WINDOWS\system32\bmngvmxe.exe" [2008-08-12 02:41 94208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-03-22 01:03 98394] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-03-22 01:03 688218] "SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe" [2004-09-28 20:26 32881] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1\realmon.exe" [2004-06-26 00:17 504080] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2005-11-15 21:31 33792] "VC6Player"="C:\Programme\HHVcdV6Sys\VC6Play.exe" [2004-08-12 11:06 229376] "Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744] "FLMOFFICE4DMOUSE"="C:\Programme\Browser Mouse\mouse32a.exe" [2006-10-12 18:13 356352] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Firefox"=C:\Programme\Mozilla Firefox\firefox.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\StubInstaller.exe"= "C:\\Programme\\CA\\Etrust Antivirus\\InocIT.exe"= "C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "C:\\Programme\\LimeWire\\LimeWire.exe"= "C:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"= "C:\\Programme\\CA\\Etrust Antivirus\\Realmon.exe"= "C:\\Programme\\Anno 1701\\Anno1701.exe"= "C:\\Programme\\CA\\Etrust Antivirus\\Shellscn.exe"= "C:\\Programme\\Anno 1701\\Anno1701AddOn.exe"= R0 Klpf;Klpf;C:\WINDOWS\system32\drivers\Klpf.sys [2006-05-11 16:05] R0 Klpid;Klpid;C:\WINDOWS\system32\drivers\Klpid.sys [2006-05-11 16:06] R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-03-04 12:35] R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-05-22 02:00] R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-03-04 12:35] S3 CBEN5;Xircom CardBus Ethernet-10/100-Adapterfamilientreiber;C:\WINDOWS\system32\DRIVERS\cben5.sys [2001-08-17 13:13] . Inhalt des "geplante Tasks" Ordners 2008-08-08 C:\WINDOWS\Tasks\1-Klick-Wartung.job - C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 02:29] . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - URLSearchHooks-{2C0A14D5-2633-3189-B049-AA8907B77F48} - StartCpl.dll . ------- Zus„tzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Kim Ole Andersen\Anwendungsdaten\Mozilla\Firefox\Profiles\7sjtkppt.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-12 18:51:55 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\obvious] "ImagePath"="system32\DRIVERS\obvious.sys" . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Virtual CD v6\System\vc6tray.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\CA\Etrust Antivirus\InoRpc.exe C:\Programme\CA\Etrust Antivirus\InoRT.exe C:\Programme\CA\Etrust Antivirus\InoTask.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\HHVcdV6Sys\VC6SecS.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-08-12 18:56:26 - PC wurde neu gestartet [Kim Ole Andersen] ComboFix-quarantined-files.txt 2008-08-12 16:55:20 Pre-Run: 16 Verzeichnis(se), 18,315,194,368 Bytes frei Post-Run: 17 Verzeichnis(se), 18,260,680,704 Bytes frei 211 --- E O F --- 2008-08-11 16:32:21 MAM Log: Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1045 Windows 5.1.2600 Service Pack 2 19:24:44 12.08.2008 mbam-log-8-12-2008 (19-24-44).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|) Durchsuchte Objekte: 93409 Laufzeit: 23 minute(s), 39 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Hijackthis Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:37:11, on 12.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\Programme\Winamp\winampa.exe C:\Programme\HHVcdV6Sys\VC6Play.exe C:\Programme\Browser Mouse\mouse32a.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\bmngvmxe.exe C:\Programme\Virtual CD v6\System\VC6Tray.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\HHVcdV6Sys\VC6SecS.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe C:\Program Files\Trend Micro\test.com\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www.ewetel.net/proxy.pac O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [VC6Player] C:\Programme\HHVcdV6Sys\VC6Play.exe O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser Mouse\mouse32a.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [StrGenSys] C:\WINDOWS\system32\bmngvmxe.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133826794828 O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37710.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe -- End of file - 5562 bytes So, das war jaaaa viel, aber du liest sowas sicherlich ein offenes Buch:). Ich hoffe, der KimOle-Lehrling hat es dank Meister Chris wieder hinbekommen?! Freue mich schon auf dein "Testat" morgen. See U Kim Ole |
Nachtrag: Jetzt ist alles okay anscheinend, nur ein "harmloser" Virus ist noch da... hier die Beschreibung aus dem Netz: "Adware/XP-Shield gibt sich als das Windows Security Center aus um User zu täuschen und warnt diese vor nicht existierenden Bedrohungen in ihren Computern. Um diese zu bekämpfen, werden sie gelockt, ein bestimmtes Programm zu kaufen. Dieses kann von der Webseite der Firma, die es entwickelt hat, runtergeladen werden.Adware/XP-Shield ist ein Adware Programm, das sich als Windows Security Center ausgibt und so User täuscht. Ihnen wird empfohlen, ein Programm zur Bekämpfung nicht existierender Bedrohungen in ihren Computern, zu kaufen. Adware/XP-Shield kann freiwillig von der Webseite der Firma, die es entwickelt hat, runtergeladen werden" Ob es der beschriebene ist, siehst du evt. an meinen Logs... Versuche den jetzt mal mit Kapery wegzubekommen.:snyper: |
lade diese datei C:\WINDOWS\system32\bmngvmxe.exe bei Virustotal hoch und poste das komplette Ergebnis. ausserdem: Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix
|
Hi, der "worst case" ist eingetroffen, jeden Tag haben sich ein paar neue Sachen eingeschlichen. Also das ganze von vorne mit der Ergänzung von erty; Deinstalliere Combofix durch Start->Ausführen-> combofix /u; Lade es dann neu runter (Combofix wird jeden Tag aktualisiert); Update MAM, lade Dir Smithraudfix runter; Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste unbedingt das Ergebniss der Onlinescanns; Danach Offline gehen und das hier abarbeiten: Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://swandog46.geekstogo.com/res/images/avenger.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Files to delete:3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code: UnbekanntLog sichern; Anschließend noch mal combofix und MAM, dann die Logs posten... Chris |
Hi, Chris, Hallo, erty! Wäre ja auch zu schön gewesen, das alles okay ist:schmoll:...danke für die bisherige Hilfe. Naja, werde mich heut abend wieder dransetzen. Eine Verständnisfrage habe ich noch: Wenn ich mit SmitfraudFix laut ertys Anleitung arbeite, also nur Option 1 ausführen ( also nur Suche und Bericht erstellen ), oder soll ich auch gleich die durch die Suche gefundenen infizierten Dateien löschen, ergo Reinigung durchführen? :confused: Gruß! Kim Ole |
Hi, ich würde noch mal einen kompletten Bereinigungslauf versuchen... Poste aber das log was Smithy beim suchen/bereinigen bringt mit den anderen zusammen wenn Du wieder online bist... chris |
N´abend, Chris! Ich habe jetzt alles soweit wieder durchgeführt, jedoch wurde bmnggvmxe.exe nicht mehr gefunden, Computer meldete beim ersten Hochfahren heute, das ein Virus gelöscht wurde.... Hier nun die Logs.... Virustotal Log: C:\WINDOWS\system32\bmngvmxe.exe wurde nicht mehr gefunden, vielleicht liegt es an den neuem Antivirenprogramm.... Leider hatte ich die beiden anderen zwischengespeichert, sind nicht mehr da:balla:....hoffe, das ist nicht schlimm waren aber gefunden und analysiert worden. 1. Combofix Log: ComboFix 08-08-11.01 - Kim Ole Andersen 2008-08-13 17:34:00.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.278 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Kim Ole Andersen\Desktop\ComboFix.exe Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2008-07-13 bis 2008-08-13 )))))))))))))))))))))))))))))) . 2008-08-13 17:33 . 2008-08-13 17:35 <DIR> d-------- C:\ComboFix 2008-08-13 17:33 . 2008-08-13 17:35 <DIR> d-------- C:\ComboFix 2008-08-12 20:34 . 2008-08-13 17:17 <DIR> d--hs---- C:\Config.Msi 2008-08-12 20:34 . 2008-08-13 17:17 <DIR> d--hs---- C:\Config.Msi 2008-08-12 20:33 . 2008-08-13 00:55 1,374 --a------ C:\WINDOWS\imsins.BAK 2008-08-12 20:28 . 2008-08-12 20:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files 2008-08-12 19:26 . 2008-08-12 19:26 <DIR> d--hs---- C:\RECYCLER 2008-08-12 19:26 . 2008-08-12 19:26 <DIR> d--hs---- C:\RECYCLER 2008-08-12 17:51 . 2008-08-12 17:51 130,048 --a------ C:\WINDOWS\system32\xajqtilm.exe 2008-08-12 17:51 . 2008-08-12 17:51 81,920 --a------ C:\WINDOWS\system32\psdwjmpu.exe 2008-08-12 17:36 . 2008-08-13 17:34 <DIR> d-------- C:\QooBox 2008-08-12 17:36 . 2008-08-13 17:34 <DIR> d-------- C:\QooBox 2008-08-12 02:41 . 2008-08-12 02:41 42,496 --a------ C:\WINDOWS\system32\teharalq.exe 2008-08-11 22:20 . 2008-08-11 22:20 <DIR> d-------- C:\sktrzjc 2008-08-11 22:20 . 2008-08-11 22:20 <DIR> d-------- C:\sktrzjc 2008-08-11 22:20 . 2008-08-11 22:20 <DIR> d-------- C:\sktrzjc 2008-08-11 21:47 . 2008-08-11 21:47 42,496 --a------ C:\WINDOWS\system32\nwzcdwvg.exe 2008-08-11 21:17 . 2004-08-04 14:00 4,224 --a------ C:\WINDOWS\system32\drivers\beep.sys 2008-08-11 21:17 . 2004-08-04 14:00 4,224 --a--c--- C:\WINDOWS\system32\dllcache\beep.sys 2008-08-11 20:42 . 2008-08-11 20:42 42,496 --a------ C:\WINDOWS\system32\lwbwnifw.exe 2008-08-11 19:36 . 2008-08-11 19:36 42,496 --a------ C:\WINDOWS\system32\lyfinkly.exe 2008-08-10 18:31 . 2008-08-10 18:31 42,496 --a------ C:\WINDOWS\system32\wjixehmz.exe 2008-08-10 17:58 . 2008-08-10 17:58 42,496 --a------ C:\WINDOWS\system32\ahodctwv.exe 2008-08-10 16:54 . 2008-08-10 16:54 42,496 --a------ C:\WINDOWS\system32\zydkjuvy.exe 2008-08-10 15:48 . 2008-08-10 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\Kim Ole Andersen\Anwendungsdaten\Malwarebytes 2008-08-10 15:48 . 2008-08-10 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-10 15:48 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-10 15:48 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-10 09:59 . 2008-08-10 09:59 17,199 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bywuzu.vbs 2008-08-10 09:59 . 2008-08-10 09:59 16,946 --a------ C:\wydi.dll 2008-08-10 09:59 . 2008-08-10 09:59 16,946 --a------ C:\wydi.dll 2008-08-10 09:59 . 2008-08-10 09:59 14,925 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kuxu.vbs 2008-08-10 09:59 . 2008-08-10 09:59 14,871 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jega.reg 2008-08-10 09:59 . 2008-08-10 09:59 12,499 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zudifesyjo.dat 2008-08-10 09:59 . 2008-08-10 09:59 12,060 --a------ C:\kinaz.dat 2008-08-10 09:59 . 2008-08-10 09:59 12,060 --a------ C:\kinaz.dat 2008-08-10 09:03 . 2008-08-10 09:03 19,043 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nacokod.bat 2008-08-10 09:03 . 2008-08-10 09:03 18,931 --a------ C:\WINDOWS\system32\pewicyjev.bin 2008-08-10 09:03 . 2008-08-10 09:03 18,271 --a------ C:\cony.sys 2008-08-10 09:03 . 2008-08-10 09:03 18,271 --a------ C:\cony.sys 2008-08-10 09:03 . 2008-08-10 09:03 15,076 --a------ C:\letiqiwoke.dll 2008-08-10 09:03 . 2008-08-10 09:03 15,076 --a------ C:\letiqiwoke.dll 2008-08-10 09:03 . 2008-08-10 09:03 14,290 --a------ C:\icadi.pif 2008-08-10 09:03 . 2008-08-10 09:03 14,290 --a------ C:\icadi.pif 2008-08-10 09:03 . 2008-08-10 09:03 14,119 --a------ C:\givyla.dll 2008-08-10 09:03 . 2008-08-10 09:03 14,119 --a------ C:\givyla.dll 2008-08-10 09:03 . 2008-08-10 09:03 11,756 --a------ C:\pocety.scr 2008-08-10 09:03 . 2008-08-10 09:03 11,756 --a------ C:\pocety.scr 2008-08-10 09:03 . 2008-08-10 09:03 11,357 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\apyfi.pif 2008-08-10 08:34 . 2008-08-10 08:34 <DIR> d-------- C:\xbmkhuf 2008-08-10 08:34 . 2008-08-10 08:34 <DIR> d-------- C:\xbmkhuf 2008-08-10 08:34 . 2008-08-10 08:34 <DIR> d-------- C:\xbmkhuf 2008-08-10 08:33 . 2008-08-10 08:33 102,400 --a------ C:\WINDOWS\system32\mbajozup.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . d-sh--w 0 2008-08-13 15:17:48 \Config.Msi d-sh--w 0 2008-08-13 15:17:48 \Config.Msi d-sh--w 0 2008-08-12 17:26:26 \RECYCLER d-sh--w 0 2008-08-12 17:26:26 \RECYCLER d-----w 0 2008-08-13 15:35:54 \ComboFix d-----w 0 2008-08-13 15:35:54 \ComboFix d-----w 0 2008-08-13 15:35:42 \WINDOWS d-----w 0 2008-08-13 15:35:42 \WINDOWS d-----w 0 2008-08-13 15:34:33 \QooBox d-----w 0 2008-08-13 15:34:33 \QooBox d-----w 0 2008-08-11 20:47:42 \Program Files d-----w 0 2008-08-11 20:47:42 \Program Files d-----w 0 2008-08-11 20:20:56 \sktrzjc d-----w 0 2008-08-11 20:20:56 \sktrzjc d-----w 0 2008-08-10 06:34:09 \xbmkhuf d-----w 0 2008-08-10 06:34:09 \xbmkhuf 2008-08-13 15:19 --------- d-----w C:\Dokumente und Einstellungen\Kim Ole Andersen\Anwendungsdaten\AdobeUM 2008-08-12 18:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-08-10 07:59 16,946 ----a-w C:\wydi.dll 2008-08-10 07:59 13,650 ----a-w C:\WINDOWS\disabuwef.sys 2008-08-10 07:59 12,060 ----a-w C:\kinaz.dat 2008-08-10 07:59 10,979 ----a-w C:\WINDOWS\ycateqy.exe 2008-08-10 07:03 18,271 ----a-w C:\cony.sys 2008-08-10 07:03 18,117 ----a-w C:\WINDOWS\onakeril.com 2008-08-10 07:03 15,076 ----a-w C:\letiqiwoke.dll 2008-08-10 07:03 15,059 ----a-w C:\WINDOWS\kopasev.bat 2008-08-10 07:03 14,290 ----a-w C:\icadi.pif 2008-08-10 07:03 14,119 ----a-w C:\givyla.dll 2008-08-10 07:03 13,133 ----a-w C:\WINDOWS\igypa.pif 2008-08-10 07:03 11,756 ----a-w C:\pocety.scr 2008-08-10 07:03 11,110 ----a-w C:\WINDOWS\yrosagu.exe 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys --sha-w 792,723,456 2008-08-13 15:17:48 \pagefile.sys --sha-w 792,723,456 2008-08-13 15:17:48 \pagefile.sys --sha-w 527,941,632 2008-08-13 15:17:50 \hiberfil.sys --sha-w 527,941,632 2008-08-13 15:17:50 \hiberfil.sys --sha-r 251,184 2004-08-04 12:00:00 \ntldr --sha-r 251,184 2004-08-04 12:00:00 \ntldr --sha-r 47,564 2004-08-04 12:00:00 \NTDETECT.COM --sha-r 47,564 2004-08-04 12:00:00 \NTDETECT.COM --sha-r 4,952 2004-08-04 12:00:00 \bootfont.bin --sha-r 4,952 2004-08-04 12:00:00 \bootfont.bin --sha-r 211 2005-11-30 21:57:20 \boot.ini --sha-r 211 2005-11-30 21:57:20 \boot.ini --sha-r 0 2005-06-07 14:05:44 \MSDOS.SYS --sha-r 0 2005-06-07 14:05:44 \MSDOS.SYS --sha-r 0 2005-06-07 14:05:44 \IO.SYS --sha-r 0 2005-06-07 14:05:44 \IO.SYS 2005-06-08 06:07 8 --sh--r C:\WINDOWS\system32\38B25DE429.sys 2005-06-08 06:07 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot@2008-08-12_18.54.47.90 ))))))))))))))))))))))))))))))))))))))))) . + 2008-07-07 20:16:43 253,952 ----a-w C:\WINDOWS\$hf_mig$\KB950974\SP2QFE\es.dll + 2008-07-07 20:26:58 253,952 ----a-w C:\WINDOWS\$hf_mig$\KB950974\SP3GDR\es.dll + 2008-07-07 20:23:19 253,952 ----a-w C:\WINDOWS\$hf_mig$\KB950974\SP3QFE\es.dll + 2007-11-30 12:39:14 18,808 ----a-w C:\WINDOWS\$hf_mig$\KB950974\spmsg.dll + 2007-11-30 12:39:14 234,872 ----a-w C:\WINDOWS\$hf_mig$\KB950974\spuninst.exe + 2007-11-30 12:39:14 26,488 ----a-w C:\WINDOWS\$hf_mig$\KB950974\update\spcustom.dll + 2007-11-30 12:39:08 765,304 ----a-w C:\WINDOWS\$hf_mig$\KB950974\update\update.exe + 2007-11-30 12:39:08 388,984 ----a-w C:\WINDOWS\$hf_mig$\KB950974\update\updspapi.dll + 2008-07-14 11:03:00 62,976 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\SP2QFE\tzchange.exe + 2008-07-11 12:42:28 62,976 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\SP3GDR\tzchange.exe + 2008-07-11 12:51:51 62,976 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\SP3QFE\tzchange.exe + 2007-11-30 11:18:34 18,808 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\spmsg.dll + 2007-11-30 11:18:34 234,872 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\spuninst.exe + 2007-11-30 11:18:34 26,488 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\update\spcustom.dll + 2007-11-30 12:39:14 765,304 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\update\update.exe + 2007-11-30 12:39:15 388,984 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\update\updspapi.dll + 2008-06-24 16:30:04 74,240 ----a-w C:\WINDOWS\$hf_mig$\KB952954\SP2QFE\mscms.dll + 2008-06-24 16:42:48 74,240 ----a-w C:\WINDOWS\$hf_mig$\KB952954\SP3GDR\mscms.dll + 2008-06-24 16:53:23 74,240 ----a-w C:\WINDOWS\$hf_mig$\KB952954\SP3QFE\mscms.dll + 2007-11-30 12:39:14 18,808 ----a-w C:\WINDOWS\$hf_mig$\KB952954\spmsg.dll + 2007-11-30 12:39:14 234,872 ----a-w C:\WINDOWS\$hf_mig$\KB952954\spuninst.exe + 2007-11-30 12:39:14 26,488 ----a-w C:\WINDOWS\$hf_mig$\KB952954\update\spcustom.dll + 2007-11-30 12:39:14 765,304 ----a-w C:\WINDOWS\$hf_mig$\KB952954\update\update.exe + 2007-11-30 12:39:15 388,984 ----a-w C:\WINDOWS\$hf_mig$\KB952954\update\updspapi.dll - 2005-07-26 04:39:46 243,200 -c--a-w C:\WINDOWS\system32\dllcache\es.dll + 2008-07-07 20:30:55 253,952 -c--a-w C:\WINDOWS\system32\dllcache\es.dll - 2007-08-21 06:16:14 683,520 -c--a-w C:\WINDOWS\system32\dllcache\inetcomm.dll + 2008-04-11 18:50:09 683,520 -c--a-w C:\WINDOWS\system32\dllcache\inetcomm.dll - 2005-06-29 01:49:39 74,240 -c--a-w C:\WINDOWS\system32\dllcache\mscms.dll + 2008-06-24 16:22:31 74,240 -c--a-w C:\WINDOWS\system32\dllcache\mscms.dll - 2007-08-21 06:16:14 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll + 2008-04-11 18:50:09 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll - 2008-06-25 16:15:46 17,972,344 ----a-w C:\WINDOWS\system32\MRT.exe + 2008-08-05 18:11:01 15,888,504 ----a-w C:\WINDOWS\system32\MRT.exe - 2008-03-30 07:44:51 65,468 ----a-w C:\WINDOWS\system32\perfc007.dat + 2008-08-12 18:34:38 64,848 ----a-w C:\WINDOWS\system32\perfc007.dat - 2008-03-30 07:44:51 54,390 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-08-12 18:34:38 53,770 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-03-30 07:44:51 393,706 ----a-w C:\WINDOWS\system32\perfh007.dat + 2008-08-12 18:34:38 393,086 ----a-w C:\WINDOWS\system32\perfh007.dat - 2008-03-30 07:44:51 382,646 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-08-12 18:34:38 382,026 ----a-w C:\WINDOWS\system32\perfh009.dat - 2007-11-13 11:31:11 60,416 ------w C:\WINDOWS\system32\tzchange.exe + 2008-07-14 11:09:18 62,976 ------w C:\WINDOWS\system32\tzchange.exe . -- Snapshot reset to current date -- . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-03-22 01:03 98394] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-03-22 01:03 688218] "SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe" [2004-09-28 20:26 32881] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2005-11-15 21:31 33792] "VC6Player"="C:\Programme\HHVcdV6Sys\VC6Play.exe" [2004-08-12 11:06 229376] "Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744] "FLMOFFICE4DMOUSE"="C:\Programme\Browser Mouse\mouse32a.exe" [2006-10-12 18:13 356352] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 08:05:26 29696] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Firefox"=C:\Programme\Mozilla Firefox\firefox.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\StubInstaller.exe"= "C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "C:\\Programme\\LimeWire\\LimeWire.exe"= "C:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"= "C:\\Programme\\Anno 1701\\Anno1701.exe"= "C:\\Programme\\Anno 1701\\Anno1701AddOn.exe"= R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-03-04 12:35] R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-05-22 02:00] R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-03-04 12:35] S3 CBEN5;Xircom CardBus Ethernet-10/100-Adapterfamilientreiber;C:\WINDOWS\system32\DRIVERS\cben5.sys [2001-08-17 13:13] *Newly Created Service* - CATCHME . Inhalt des "geplante Tasks" Ordners 2008-08-08 C:\WINDOWS\Tasks\1-Klick-Wartung.job - C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 02:29] . . ------- Zusätzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Kim Ole Andersen\Anwendungsdaten\Mozilla\Firefox\Profiles\7sjtkppt.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-13 17:35:44 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\obvious] "ImagePath"="system32\DRIVERS\obvious.sys" . Zeit der Fertigstellung: 2008-08-13 17:36:52 ComboFix-quarantined-files.txt 2008-08-13 15:36:33 ComboFix2.txt 2008-08-12 16:56:27 Pre-Run: 15 Verzeichnis(se), 18,195,374,080 Bytes frei Post-Run: 18 Verzeichnis(se), 18,193,784,832 Bytes frei 240 --- E O F --- 2008-08-12 22:55:15 SFF SCAN: SmitFraudFix v2.336 Scan done at 18:14:35,12, 13.08.2008 Run from C:\Dokumente und Einstellungen\Kim Ole Andersen\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Kim Ole Andersen\Desktop\SmitfraudFix\Policies.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Kim Ole Andersen »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Kim Ole Andersen\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\KIMOLE~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, following keys are not inevitably infected!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix !!!Attention, following keys are not inevitably infected!!! 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," "system"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{4B5E04EA-D238-42FB-9E12-C507E3DB53DC}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{54C29812-81B8-4780-9B68-0D039682EFDF}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{4B5E04EA-D238-42FB-9E12-C507E3DB53DC}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{54C29812-81B8-4780-9B68-0D039682EFDF}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{4B5E04EA-D238-42FB-9E12-C507E3DB53DC}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{54C29812-81B8-4780-9B68-0D039682EFDF}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End |
SFF Kill: SmitFraudFix v2.336 Scan done at 18:18:47,62, 13.08.2008 Run from C:\Dokumente und Einstellungen\Kim Ole Andersen\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{4B5E04EA-D238-42FB-9E12-C507E3DB53DC}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{54C29812-81B8-4780-9B68-0D039682EFDF}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{4B5E04EA-D238-42FB-9E12-C507E3DB53DC}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{54C29812-81B8-4780-9B68-0D039682EFDF}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{4B5E04EA-D238-42FB-9E12-C507E3DB53DC}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{54C29812-81B8-4780-9B68-0D039682EFDF}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "system"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End SFF SCAN: SmitFraudFix v2.336 Scan done at 18:14:35,12, 13.08.2008 Run from C:\Dokumente und Einstellungen\Kim Ole Andersen\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Kim Ole Andersen\Desktop\SmitfraudFix\Policies.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Kim Ole Andersen »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Kim Ole Andersen\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\KIMOLE~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, following keys are not inevitably infected!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix !!!Attention, following keys are not inevitably infected!!! 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," "system"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{4B5E04EA-D238-42FB-9E12-C507E3DB53DC}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{54C29812-81B8-4780-9B68-0D039682EFDF}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{4B5E04EA-D238-42FB-9E12-C507E3DB53DC}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{54C29812-81B8-4780-9B68-0D039682EFDF}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{4B5E04EA-D238-42FB-9E12-C507E3DB53DC}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{54C29812-81B8-4780-9B68-0D039682EFDF}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Combofix Log nach Reinigung: ComboFix 08-08-12.01 - Kim Ole Andersen 2008-08-13 18:27:52.3 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.260 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Kim Ole Andersen\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2008-07-13 bis 2008-08-13 )))))))))))))))))))))))))))))) . 2008-08-13 18:27 . 2008-08-13 18:28 <DIR> d-------- C:\QooBox 2008-08-13 18:27 . 2008-08-13 18:28 <DIR> d-------- C:\QooBox 2008-08-13 18:27 . 2008-08-13 18:29 <DIR> d-------- C:\ComboFix 2008-08-13 18:27 . 2008-08-13 18:29 <DIR> d-------- C:\ComboFix 2008-08-13 18:24 . 527,941,632 C:\hiberfil.sys 2008-08-13 18:24 . 527,941,632 C:\hiberfil.sys 2008-08-13 18:14 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-08-13 18:14 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-08-13 18:14 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-08-13 18:14 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-08-13 18:14 . 2008-08-11 18:07 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-08-13 18:14 . 2008-08-09 15:37 82,432 --a------ C:\WINDOWS\system32\404Fix.exe 2008-08-13 18:14 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-08-13 18:14 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-08-13 18:14 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-08-13 18:14 . 2008-08-13 18:18 1,328 --a------ C:\WINDOWS\system32\tmp.reg 2008-08-13 18:00 . 2008-08-13 18:01 <DIR> d-------- C:\Avenger 2008-08-13 18:00 . 2008-08-13 18:01 <DIR> d-------- C:\Avenger 2008-08-13 17:42 . 2008-08-13 17:42 <DIR> d--hs---- C:\RECYCLER 2008-08-13 17:42 . 2008-08-13 17:42 <DIR> d--hs---- C:\RECYCLER 2008-08-12 20:34 . 2008-08-13 17:17 <DIR> d--hs---- C:\Config.Msi 2008-08-12 20:34 . 2008-08-13 17:17 <DIR> d--hs---- C:\Config.Msi 2008-08-12 20:33 . 2008-08-13 00:55 1,374 --a------ C:\WINDOWS\imsins.BAK 2008-08-12 20:28 . 2008-08-12 20:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files 2008-08-11 21:17 . 2004-08-04 14:00 4,224 --a------ C:\WINDOWS\system32\drivers\beep.sys 2008-08-11 21:17 . 2004-08-04 14:00 4,224 --a--c--- C:\WINDOWS\system32\dllcache\beep.sys 2008-08-10 15:48 . 2008-08-10 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\Kim Ole Andersen\Anwendungsdaten\Malwarebytes 2008-08-10 15:48 . 2008-08-10 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-10 15:48 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-10 15:48 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-10 09:59 . 2008-08-10 09:59 19,486 --a------ C:\birygidyra.db 2008-08-10 09:59 . 2008-08-10 09:59 19,001 --a------ C:\agyl.lib 2008-08-10 09:59 . 2008-08-10 09:59 18,282 --a------ C:\WINDOWS\xywiziko.dat 2008-08-10 09:59 . 2008-08-10 09:59 17,552 --a------ C:\WINDOWS\ezowimoja.lib 2008-08-10 09:59 . 2008-08-10 09:59 15,146 --a------ C:\WINDOWS\system32\ydam.db 2008-08-10 09:59 . 2008-08-10 09:59 13,682 --a------ C:\WINDOWS\system32\uzyji.inf 2008-08-10 09:59 . 2008-08-10 09:59 13,650 --a------ C:\WINDOWS\disabuwef.sys 2008-08-10 09:59 . 2008-08-10 09:59 13,224 --a------ C:\gocifexuh.lib 2008-08-10 09:59 . 2008-08-10 09:59 10,979 --a------ C:\WINDOWS\ycateqy.exe 2008-08-10 09:03 . 2008-08-10 09:03 18,117 --a------ C:\WINDOWS\onakeril.com 2008-08-10 09:03 . 2008-08-10 09:03 17,239 --a------ C:\WINDOWS\system32\hijylavyj.dat 2008-08-10 09:03 . 2008-08-10 09:03 15,935 --a------ C:\WINDOWS\ywosujed.dat 2008-08-10 09:03 . 2008-08-10 09:03 15,494 --a------ C:\WINDOWS\yxuzo._sy 2008-08-10 09:03 . 2008-08-10 09:03 15,059 --a------ C:\WINDOWS\kopasev.bat 2008-08-10 09:03 . 2008-08-10 09:03 13,959 --a------ C:\WINDOWS\ezali._sy 2008-08-10 09:03 . 2008-08-10 09:03 13,133 --a------ C:\WINDOWS\igypa.pif 2008-08-10 09:03 . 2008-08-10 09:03 12,309 --a------ C:\WINDOWS\system32\agap._sy . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . d-sh--w 0 2008-08-13 16:01:30 \System Volume Information d-sh--w 0 2008-08-13 16:01:30 \System Volume Information d-sh--w 0 2008-08-13 15:42:48 \RECYCLER d-sh--w 0 2008-08-13 15:42:48 \RECYCLER d-sh--w 0 2008-08-13 15:17:48 \Config.Msi d-sh--w 0 2008-08-13 15:17:48 \Config.Msi d-----w 0 2008-08-13 16:29:26 \ComboFix d-----w 0 2008-08-13 16:29:26 \ComboFix d-----w 0 2008-08-13 16:29:13 \WINDOWS d-----w 0 2008-08-13 16:29:13 \WINDOWS d-----w 0 2008-08-13 16:28:07 \QooBox d-----w 0 2008-08-13 16:28:07 \QooBox d-----w 0 2008-08-13 16:01:04 \Avenger d-----w 0 2008-08-13 16:01:04 \Avenger d-----w 0 2008-08-11 20:47:42 \Program Files d-----w 0 2008-08-11 20:47:42 \Program Files 2008-08-13 16:25 --------- d-----w C:\Dokumente und Einstellungen\Kim Ole Andersen\Anwendungsdaten\AdobeUM 2008-08-12 18:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys --sha-w 792,723,456 2008-08-13 16:24:51 \pagefile.sys --sha-w 792,723,456 2008-08-13 16:24:51 \pagefile.sys --sha-w 527,941,632 2008-08-13 16:24:53 \hiberfil.sys --sha-w 527,941,632 2008-08-13 16:24:53 \hiberfil.sys --sha-r 251,184 2004-08-04 12:00:00 \ntldr --sha-r 251,184 2004-08-04 12:00:00 \ntldr --sha-r 47,564 2004-08-04 12:00:00 \NTDETECT.COM --sha-r 47,564 2004-08-04 12:00:00 \NTDETECT.COM --sha-r 4,952 2004-08-04 12:00:00 \bootfont.bin --sha-r 4,952 2004-08-04 12:00:00 \bootfont.bin --sha-r 211 2005-11-30 21:57:20 \boot.ini --sha-r 211 2005-11-30 21:57:20 \boot.ini --sha-r 0 2005-06-07 14:05:44 \MSDOS.SYS --sha-r 0 2005-06-07 14:05:44 \MSDOS.SYS --sha-r 0 2005-06-07 14:05:44 \IO.SYS --sha-r 0 2005-06-07 14:05:44 \IO.SYS 2005-06-08 06:07 8 --sh--r C:\WINDOWS\system32\38B25DE429.sys 2005-06-08 06:07 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-03-22 01:03 98394] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-03-22 01:03 688218] "SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe" [2004-09-28 20:26 32881] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2005-11-15 21:31 33792] "VC6Player"="C:\Programme\HHVcdV6Sys\VC6Play.exe" [2004-08-12 11:06 229376] "Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744] "FLMOFFICE4DMOUSE"="C:\Programme\Browser Mouse\mouse32a.exe" [2006-10-12 18:13 356352] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 08:05:26 29696] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "Firefox"=C:\Programme\Mozilla Firefox\firefox.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\StubInstaller.exe"= "C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"= "C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "C:\\Programme\\LimeWire\\LimeWire.exe"= "C:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"= "C:\\Programme\\Anno 1701\\Anno1701.exe"= "C:\\Programme\\Anno 1701\\Anno1701AddOn.exe"= R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-03-04 12:35] R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-05-22 02:00] R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-03-04 12:35] S3 CBEN5;Xircom CardBus Ethernet-10/100-Adapterfamilientreiber;C:\WINDOWS\system32\DRIVERS\cben5.sys [2001-08-17 13:13] . Inhalt des "geplante Tasks" Ordners 2008-08-08 C:\WINDOWS\Tasks\1-Klick-Wartung.job - C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 02:29] . . ------- Zusätzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Kim Ole Andersen\Anwendungsdaten\Mozilla\Firefox\Profiles\7sjtkppt.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-13 18:29:15 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\obvious] "ImagePath"="system32\DRIVERS\obvious.sys" . Zeit der Fertigstellung: 2008-08-13 18:30:20 ComboFix-quarantined-files.txt 2008-08-13 16:30:01 ComboFix2.txt 2008-08-13 15:36:53 Pre-Run: 14 Verzeichnis(se), 20,154,425,344 Bytes frei Post-Run: 17 Verzeichnis(se), 20,139,196,416 Bytes frei 172 --- E O F --- 2008-08-12 22:55:15 Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1049 Windows 5.1.2600 Service Pack 2 19:03:06 13.08.2008 mbam-log-8-13-2008 (19-03-06).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|) Durchsuchte Objekte: 86298 Laufzeit: 17 minute(s), 10 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) und zu Sicherheit nochmal Hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:05:09, on 13.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\Winamp\winampa.exe C:\Programme\HHVcdV6Sys\VC6Play.exe C:\Programme\Browser Mouse\mouse32a.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Virtual CD v6\System\VC6Tray.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\HHVcdV6Sys\VC6SecS.exe C:\WINDOWS\explorer.exe C:\Programme\Windows NT\Zubehör\WORDPAD.EXE C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\FRITZ!DSL\fritzdsl.exe C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe C:\Program Files\Trend Micro\test.com\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www.ewetel.net/proxy.pac O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [VC6Player] C:\Programme\HHVcdV6Sys\VC6Play.exe O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser Mouse\mouse32a.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133826794828 O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37710.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe -- End of file - 4494 bytes Hoffe mal wieder, das jetzt alles wech is....!? Gruß & Danke! Kim Ole |
naja, aber einen Virenscanner hast du nicht installiert!? --> Scanner installieren, udaten, fullscan. |
Hi, erty! Doch, habe jetzt Kaspersky Anti-Virus 2009, läuft gerade durch...melde mich dann nach dessen Scan Gruß! Kim Ole |