Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   XP Antispyware (https://www.trojaner-board.de/61896-xp-antispyware.html)

Nakama 12.10.2008 08:03
XP Antispyware
 
Hallo allerseits,

habe mir den lästigen Trojaner XP Antispyware eingefangen und auch schon Combofix durchlaufen lassen (Windows XP Professional, SP2). Hier die Log-Datei:



ComboFix 08-10-10.09 - Administrator 2008-10-11 19:52:45.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Administrator\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\akl
C:\Programme\akl\akl.dll
C:\Programme\akl\akl.exe
C:\Programme\akl\uninstall.exe
C:\Programme\INSTALL.LOG
C:\Programme\XP_AntiSpyware
C:\Programme\XP_AntiSpyware\Uninstall.exe
C:\WINDOWS\system32\brastk.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-11 bis 2008-10-11 ))))))))))))))))))))))))))))))
.

2008-10-11 18:50 . 2008-10-11 18:50<DIR>d--------C:\Programme\Enigma Software Group
2008-10-11 01:36 . 2008-10-04 21:40196,823--a------C:\WINDOWS\system32\_scui.cpl
2008-10-11 01:36 . 2008-10-11 19:3365,428--a------C:\WINDOWS\system32\wini104552502.exe
2008-10-11 01:34 . 2008-10-11 01:34<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spelglop
2008-10-11 01:33 . 2008-10-11 01:3381,920--a------C:\WINDOWS\system32\otmfypkr.exe
2008-09-30 16:07 . 2008-09-30 17:02<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Broken Sword 2.5
2008-09-30 16:05 . 2008-09-30 16:06<DIR>d--------C:\Programme\Broken Sword 2.5
2008-09-28 17:58 . 2008-09-28 17:58<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-09-28 17:58 . 2008-09-28 17:58<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ATI
2008-09-28 16:27 . 2008-09-28 16:27<DIR>d--------C:\Programme\Screaming Bee
2008-09-28 16:27 . 2008-09-28 16:27<DIR>d--------C:\Programme\Gemeinsame Dateien\Screaming Bee
2008-09-25 18:04 . 2008-09-25 18:04268--ah-----C:\sqmdata13.sqm
2008-09-25 18:04 . 2008-09-25 18:04244--ah-----C:\sqmnoopt13.sqm
2008-09-13 13:54 . 2008-09-13 13:54268--ah-----C:\sqmdata12.sqm
2008-09-13 13:54 . 2008-09-13 13:54244--ah-----C:\sqmnoopt12.sqm
2008-09-11 00:53 . 2008-09-11 00:53<DIR>d--------C:\Programme\MSXML 4.0

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-11 17:54---------
d-----wC:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-10-11 16:25---------
d-----wC:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVG7
2008-10-10 17:15---------
d-----wC:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2008-09-27 20:30---------
d-----wC:\Programme\SecondLife
2008-09-22 20:45---------
d-----wC:\Programme\ICQ6
2008-08-29 14:45---------
d-----wC:\Programme\LG PC Suite II
2008-08-29 14:28---------d--h--wC:\Programme\InstallShield Installation Information
2008-08-29 14:28---------
d-----wC:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LG Electronics
2008-08-29 14:22---------
d-----wC:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
2008-08-22 17:01---------
d-----wC:\Programme\Apple Software Update
2008-08-22 17:00---------
d-----wC:\Programme\iTunes
2008-08-22 17:00---------
d-----wC:\Programme\iPod
2008-08-22 16:57---------
d-----wC:\Programme\QuickTime Alternative
2008-08-22 16:20---------
d-----wC:\Programme\Safari
2008-08-19 15:05---------
d-----wC:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecondLife
2008-07-18 20:1094,920----a-wC:\WINDOWS\system32\cdm.dll
2008-07-18 20:1053,448----a-wC:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:1045,768----a-wC:\WINDOWS\system32\wups2.dll
2008-07-18 20:1036,552----a-wC:\WINDOWS\system32\wups.dll
2008-07-18 20:09563,912----a-wC:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09325,832----a-wC:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09205,000----a-wC:\WINDOWS\system32\wuweb.dll
2008-07-18 20:091,811,656
----a-wC:\WINDOWS\system32\wuaueng.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2005-10-10 15360]
"ProcUtilDsc"="C:\WINDOWS\system32\otmfypkr.exe" [2008-10-11 81920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-15 579584]
"Mirabilis ICQ"="C:\PROGRA~1\ICQ\ICQNet.exe" [2003-10-14 38984]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"Acronis*True*Image Monitor"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2007-10-27 505319]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-10-27 65536]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 36352]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
"QuickTime Task"="C:\Programme\QuickTime Alternative\QTTask.exe" [2008-05-27 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2005-10-10 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-26 219136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"wcSgndKc8X"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spelglop\qvelihct.exe" [2008-10-11 53248]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk - C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe [2007-11-11 10919936]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgemc.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\SecondLife\\SLVoice.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\Programme\\ICQ\\Icq.exe"=
"C:\\Programme\\ZyXEL\\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\\ZyXEL G-220 v2.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-03-26 16896]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2007-03-29 9216]
R0 ViPrt;VIA SATA IDE Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-03-26 52224]
R2 ZDCNDIS5;ZDCNDIS5 NDIS Protocol Driver;C:\WINDOWS\ZDCNDIS5.sys [2006-06-02 18944]
R3 AN983;ADMtek AN983/AN985/ADM951X-10/100-MBit/s-Fast Ethernet-Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2004-08-03 36224]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\ScreamingBAudio.sys [2007-12-19 21920]
R3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2006-06-02 402944]
S0 viasraid;viasraid;C:\WINDOWS\system32\drivers\viasraid.sys [2005-10-10 75904]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2006-06-02 20608]

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-09-19 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-17 22:50]

2008-10-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-brastk - C:\WINDOWS\system32\brastk.exe
HKLM-Run-XP Antispyware 2009 - C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\jlogmwk5.default\
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-11 19:54:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-11 19:55:00
ComboFix-quarantined-files.txt 2008-10-11 17:54:57

Vor Suchlauf: 7 Verzeichnis(se), 69.742.989.312 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 69,862,002,688 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

163--- E O F ---
2008-10-11 00:00:22



Vielen Dank für eure Hilfe!

raman 12.10.2008 10:12
Teste bitte folgende Dinge bei Virustotal.com und poste die entsprechenden Links zu den Ergebnissen:

C:\WINDOWS\system32\wini104552502.exe
C:\WINDOWS\system32\otmfypkr.exe
C:\WINDOWS\system32\_scui.cpl

Nakama 12.10.2008 16:35
Es gab nur zu der zweiten Datei einen Ergebnisbericht:

ThreatExpert Report: Trojan.Win32.Obfuscated.gx, FakeAlert-BD, Mal/EncPk-DG, Trojan:Win32/Busky.EI

raman 12.10.2008 16:45
Das ist ein Threatexpert ERgebniss. Das Virutotal Ergebniss waere hilfreich(permalink)

Nakama 12.10.2008 17:37
Oh. Permalink: analisis/4ba83c45d24dc11aa43529e2f008d7d8

raman 12.10.2008 18:50
Dann loesche die von mir angegebenen Dateien, lade dir eine neue Combofix Version herunter und erstelle mit dieser einen neuen Report.

Nakama 13.10.2008 14:57
Okay, habsch. Hier das Ergebnis:

ComboFix 08-10-12.01 - Administrator 2008-10-13 15:53:23.6 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.165 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Administrator\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-13 bis 2008-10-13 ))))))))))))))))))))))))))))))
.

2008-10-12 17:12 . 2008-10-12 17:12
77,824--a------C:\WINDOWS\system32\qvybwlyv.exe
2008-10-12 01:49 . 2008-10-12 17:12
<DIR>d--------C:\Programme\xkempae
2008-10-11 20:52 . 2008-10-11 20:52
<DIR>d--------C:\Programme\kvldqtb
2008-10-11 20:29 . 2008-10-12 17:12
156--a------C:\Dokumente und Einstellungen\Administrator\delself.bat
2008-10-11 18:50 . 2008-10-11 18:50
<DIR>d--------C:\Programme\Enigma Software Group
2008-10-11 01:34 . 2008-10-12 17:17
<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spelglop
2008-09-30 16:07 . 2008-09-30 17:02
<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Broken Sword 2.5
2008-09-30 16:05 . 2008-09-30 16:06
<DIR>d--------C:\Programme\Broken Sword 2.5
2008-09-28 17:58 . 2008-09-28 17:58
<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-09-28 17:58 . 2008-09-28 17:58
<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ATI
2008-09-28 16:27 . 2008-09-28 16:27
<DIR>d--------C:\Programme\Screaming Bee
2008-09-28 16:27 . 2008-09-28 16:27
<DIR>d--------C:\Programme\Gemeinsame Dateien\Screaming Bee
2008-09-25 18:04 . 2008-09-25 18:04
268--ah-----C:\sqmdata13.sqm
2008-09-25 18:04 . 2008-09-25 18:04
244--ah-----C:\sqmnoopt13.sqm
2008-09-13 13:54 . 2008-09-13 13:54
268--ah-----C:\sqmdata12.sqm
2008-09-13 13:54 . 2008-09-13 13:54
244--ah-----C:\sqmnoopt12.sqm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-13 13:55---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-10-11 16:25---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVG7
2008-10-10 17:15---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2008-09-27 20:30---------d-----w
C:\Programme\SecondLife
2008-09-22 20:45---------d-----w
C:\Programme\ICQ6
2008-09-10 22:53---------d-----w
C:\Programme\MSXML 4.0
2008-08-29 14:45---------d-----w
C:\Programme\LG PC Suite II
2008-08-29 14:28---------d--h--w
C:\Programme\InstallShield Installation Information
2008-08-29 14:28---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LG Electronics
2008-08-29 14:22---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
2008-08-22 17:01---------d-----w
C:\Programme\Apple Software Update
2008-08-22 17:00---------d-----w
C:\Programme\iTunes
2008-08-22 17:00---------d-----w
C:\Programme\iPod
2008-08-22 16:57---------d-----w
C:\Programme\QuickTime Alternative
2008-08-22 16:20---------d-----w
C:\Programme\Safari
2008-08-19 15:05---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecondLife
2008-07-18 20:1094,920----a-w
C:\WINDOWS\system32\cdm.dll
2008-07-18 20:1053,448----a-w
C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:1045,768----a-w
C:\WINDOWS\system32\wups2.dll
2008-07-18 20:1036,552----a-w
C:\WINDOWS\system32\wups.dll
2008-07-18 20:09563,912----a-w
C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09325,832----a-w
C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09205,000----a-w
C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:091,811,656
----a-wC:\WINDOWS\system32\wuaueng.dll
.

((((((((((((((((((((((((((((( snapshot@2008-10-11_19.54.38,84 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-08-05 18:11:01
15,888,504----a-wC:\WINDOWS\system32\MRT.exe
+ 2008-08-26 20:28:12
16,208,504----a-wC:\WINDOWS\system32\MRT.exe
+ 2008-04-15 17:54:16
1,724,416----a-wC:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.3352_x-ww_81af8e88\GdiPlus.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2005-10-10 15360]
"brastk"="C:\WINDOWS\system32\brastk.exe" [BU]
"MonStr"="C:\WINDOWS\system32\qvybwlyv.exe" [2008-10-12 77824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-15 579584]
"Mirabilis ICQ"="C:\PROGRA~1\ICQ\ICQNet.exe" [2003-10-14 38984]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"Acronis*True*Image Monitor"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2007-10-27 505319]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-10-27 65536]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 36352]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
"QuickTime Task"="C:\Programme\QuickTime Alternative\QTTask.exe" [2008-05-27 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"XP Antispyware 2009"="C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2005-10-10 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-26 219136]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk - C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe [2007-11-11 10919936]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgemc.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\SecondLife\\SLVoice.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\Programme\\ICQ\\Icq.exe"=
"C:\\Programme\\ZyXEL\\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\\ZyXEL G-220 v2.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-03-26 16896]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2007-03-29 9216]
R0 ViPrt;VIA SATA IDE Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-03-26 52224]
R3 AN983;ADMtek AN983/AN985/ADM951X-10/100-MBit/s-Fast Ethernet-Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2004-08-03 36224]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\ScreamingBAudio.sys [2007-12-19 21920]
R3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2006-06-02 402944]
R4 ZDCNDIS5;ZDCNDIS5 NDIS Protocol Driver;C:\WINDOWS\ZDCNDIS5.sys [2006-06-02 18944]
S0 viasraid;viasraid;C:\WINDOWS\system32\drivers\viasraid.sys [2005-10-10 75904]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2006-06-02 20608]
.
Inhalt des "geplante Tasks" Ordners

2008-09-19 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-17 22:50]

2008-10-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\jlogmwk5.default\
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-13 15:55:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-13 15:56:05
ComboFix-quarantined-files.txt 2008-10-13 13:55:57
ComboFix2.txt 2008-10-12 15:23:22
ComboFix3.txt 2008-10-12 14:46:59
ComboFix4.txt 2008-10-11 19:00:53
ComboFix5.txt 2008-10-13 13:52:22

Vor Suchlauf: 8 Verzeichnis(se), 69.579.829.248 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 69,569,191,936 Bytes frei

152--- E O F ---2008-10-11 18:50:19

raman 13.10.2008 15:12
Du musst noch folgende Dateien, bzw Ordner loeschen:

C:\WINDOWS\system32\qvybwlyv.exe
C:\Programme\xkempae
C:\Programme\kvldqtb
C:\Dokumente und Einstellungen\Administrator\delself.bat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spelglop

Nakama 13.10.2008 15:37
Habe alles gelöscht.

raman 13.10.2008 16:17
Dann bitte neu starten und ein neues Combofix Log erstellen und posten...

Nakama 13.10.2008 16:51
ComboFix 08-10-12.01 - Administrator 2008-10-13 17:47:08.7 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.185 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Administrator\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-13 bis 2008-10-13 ))))))))))))))))))))))))))))))
.

2008-10-11 18:50 . 2008-10-11 18:50
<DIR>d--------C:\Programme\Enigma Software Group
2008-09-30 16:07 . 2008-09-30 17:02
<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Broken Sword 2.5
2008-09-30 16:05 . 2008-09-30 16:06
<DIR>d--------C:\Programme\Broken Sword 2.5
2008-09-28 17:58 . 2008-09-28 17:58
<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-09-28 17:58 . 2008-09-28 17:58
<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ATI
2008-09-28 16:27 . 2008-09-28 16:27
<DIR>d--------C:\Programme\Screaming Bee
2008-09-28 16:27 . 2008-09-28 16:27
<DIR>d--------C:\Programme\Gemeinsame Dateien\Screaming Bee
2008-09-25 18:04 . 2008-09-25 18:04
268--ah-----C:\sqmdata13.sqm
2008-09-25 18:04 . 2008-09-25 18:04
244--ah-----C:\sqmnoopt13.sqm
2008-09-13 13:54 . 2008-09-13 13:54
268--ah-----C:\sqmdata12.sqm
2008-09-13 13:54 . 2008-09-13 13:54
244--ah-----C:\sqmnoopt12.sqm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-13 15:33---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-10-11 16:25---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVG7
2008-10-10 17:15---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2008-09-27 20:30---------d-----w
C:\Programme\SecondLife
2008-09-22 20:45---------d-----w
C:\Programme\ICQ6
2008-09-10 22:53---------d-----w
C:\Programme\MSXML 4.0
2008-08-29 14:45---------d-----w
C:\Programme\LG PC Suite II
2008-08-29 14:28---------d--h--w
C:\Programme\InstallShield Installation Information
2008-08-29 14:28---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LG Electronics
2008-08-29 14:22---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
2008-08-22 17:01---------d-----w
C:\Programme\Apple Software Update
2008-08-22 17:00---------d-----w
C:\Programme\iTunes
2008-08-22 17:00---------d-----w
C:\Programme\iPod
2008-08-22 16:57---------d-----w
C:\Programme\QuickTime Alternative
2008-08-22 16:20---------d-----w
C:\Programme\Safari
2008-08-19 15:05---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecondLife
2008-07-18 20:1094,920----a-w
C:\WINDOWS\system32\cdm.dll
2008-07-18 20:1053,448----a-w
C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:1045,768----a-w
C:\WINDOWS\system32\wups2.dll
2008-07-18 20:1036,552----a-w
C:\WINDOWS\system32\wups.dll
2008-07-18 20:09563,912----a-w
C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09325,832----a-w
C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09205,000----a-w
C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:091,811,656
----a-wC:\WINDOWS\system32\wuaueng.dll
.

((((((((((((((((((((((((((((( snapshot@2008-10-11_19.54.38,84 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-08-05 18:11:01
15,888,504----a-wC:\WINDOWS\system32\MRT.exe
+ 2008-08-26 20:28:12
16,208,504----a-wC:\WINDOWS\system32\MRT.exe
+ 2008-04-15 17:54:16
1,724,416----a-wC:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.3352_x-ww_81af8e88\GdiPlus.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2005-10-10 15360]
"brastk"="C:\WINDOWS\system32\brastk.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-15 579584]
"Mirabilis ICQ"="C:\PROGRA~1\ICQ\ICQNet.exe" [2003-10-14 38984]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"Acronis*True*Image Monitor"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2007-10-27 505319]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-10-27 65536]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 36352]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
"QuickTime Task"="C:\Programme\QuickTime Alternative\QTTask.exe" [2008-05-27 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"XP Antispyware 2009"="C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2005-10-10 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-26 219136]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk - C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe [2007-11-11 10919936]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgemc.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\SecondLife\\SLVoice.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\Programme\\ICQ\\Icq.exe"=
"C:\\Programme\\ZyXEL\\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\\ZyXEL G-220 v2.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-03-26 16896]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2007-03-29 9216]
R0 ViPrt;VIA SATA IDE Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-03-26 52224]
R2 ZDCNDIS5;ZDCNDIS5 NDIS Protocol Driver;C:\WINDOWS\ZDCNDIS5.sys [2006-06-02 18944]
R3 AN983;ADMtek AN983/AN985/ADM951X-10/100-MBit/s-Fast Ethernet-Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2004-08-03 36224]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\ScreamingBAudio.sys [2007-12-19 21920]
R3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2006-06-02 402944]
S0 viasraid;viasraid;C:\WINDOWS\system32\drivers\viasraid.sys [2005-10-10 75904]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2006-06-02 20608]
.
Inhalt des "geplante Tasks" Ordners

2008-09-19 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-17 22:50]

2008-10-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-MonStr - C:\WINDOWS\system32\qvybwlyv.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\jlogmwk5.default\
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-13 17:48:44
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-13 17:49:46
ComboFix-quarantined-files.txt 2008-10-13 15:49:35
ComboFix2.txt 2008-10-13 13:56:07
ComboFix3.txt 2008-10-12 15:23:22
ComboFix4.txt 2008-10-12 14:46:59
ComboFix5.txt 2008-10-13 15:46:17

Vor Suchlauf: 8 Verzeichnis(se), 69.638.938.624 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 69,705,007,104 Bytes frei

148--- E O F ---2008-10-11 18:50:19


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55