Programme starten nicht, nur eine Shell öffnet sich kurz Hallo, ich hoffe auf Eure Hilfe! Hatte mit meinem XP-System in letzter Zeit immer wieder Fehlermeldungen zu WMI. Habe dann WMIDiag von Microsoft runtergeladen, gestartet und damit wohl "das Böse" aktiviert... Jedes Mal, wenn ich jetzt ein Programm ausführen möchten, poppt nur kurz eine Shell auf und schliesst sich wieder. Das war's. Beim googeln stieß ich auf den Tipp, die Datei cscript.exe zu löschen - doch schwups, ist sie wieder da. Auch laufen die unterschiedlichsten, immer wieder andere Prozesse und wenn ich einen von ihnen lösche, erscheint ein anderer Prozess. Der Rechner ist vom Netz, AVScanner kann ich nicht starten und auch sonst geht ausser dem Explorer nichts. Habe die Dateizuweisungen überprüft, aber auch die sind weg - beim neuen Zuweisen scheitert es daran, dass ich ja nichts ausführen kann. Die rundll32.exe war gelöscht, ein reinkopieren hat auch nicht geholfen. Ein Lichtblick: Die anderen Daten sind alle noch auf der Festplatte (wenn auch eventuell verseucht...). Hat jemand einen Tipp? Vorab vielen Dank!!! |
Hallöle Schmittbauer :hallo:http://www.trojaner-board.de/69886-a...-beachten.html Zusätzlich erläutere uns bitte was genau du ausgeführt hast und von wo du es geladen hast: Zitat:
Zitat:
|
Danke für die Begrüßung... Hier noch nähere Infos: - Ich habe die gute Einführung zu Trojaner-Board gelesen - kann aber leider keine der angegebenen Hilfen und Programme starten - das läßt mein System ja nicht zu. - Ich habe das Programm WMIDiag von der offiziellen MS-Support-Seite geladen (sah jedenfalls so aus). Ich habe folgende Datei ausgeführt WMIDiag.vbs. Um die Ergebnisse in einer Shell zu sehen, sollte ich cscript.exe //H:cscript eingeben, was ich auch gemacht habe. - Die Fehlermeldung lautet: "WMI hat ein Problem festgestellt und muss beendet werden". Bei den Details finde ich noch die Info, dass der szAppName: wmiprvse.exe ist - was auch immer das heisst. Im Problembericht steht dann im \Temp\WER6886.dir00\wmiprvse.exe.mdmp und \Temp\WER6886.dir00\appcompat.txt Braucht ihr noch weitere Infos? Vielen Dank! |
Hast du das Programm noch? Zitat:
Es wäre hilfreich wenn du noch genau wüsstest welche Seite es war von der du gedownloaded hast.. Das Ganze hört sich aber erstmal nicht nach einem Schädling an... Gucken wir mal. |
Viel hat sich getan... und es scheint ein Schädling zu sein! 1. Hier der Link zu der Seite, wo ich WMIDiag.vbs bzw .exe als zip her habe: ht**://**w.microsoft.com/downloads/details.aspx?FamilyID=d7ba3cd6-18d1-4d05-b11e-4c64192ae97d&displaylang=en *********************************************** 2. Hier das Ergebnis der Analyse: Die Datei wurde bereits analysiert: MD5: f5085da17c72b3f2aaeaea7a87fc9c8a First received: 2008.12.29 01:46:05 (CET) Datum 2008.12.29 01:45:59 (CET) [>78D] Ergebnisse 1/39 Permalink: analisis/7309db3e9b220e5106853dbb4e252f93 Datei WMIDiag.vbs empfangen 2008.12.29 01:45:12 (CET) Status: Beendet Ergebnis: 1/39 (2.56%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.73 2008.12.29 - AhnLab-V3 2008.12.25.0 2008.12.27 - AntiVir 7.9.0.45 2008.12.28 - Authentium 5.1.0.4 2008.12.28 - Avast 4.8.1281.0 2008.12.28 - AVG 8.0.0.199 2008.12.28 - BitDefender 7.2 2008.12.29 - CAT-QuickHeal 10.00 2008.12.27 - ClamAV 0.94.1 2008.12.28 - Comodo 834 2008.12.28 - DrWeb 4.44.0.09170 2008.12.29 - eSafe 7.0.17.0 2008.12.28 VBS.Happy. eTrust-Vet 31.6.6279 2008.12.28 - Ewido 4.0 2008.12.28 - F-Prot 4.4.4.56 2008.12.28 - F-Secure 8.0.14332.0 2008.12.28 - Fortinet 3.117.0.0 2008.12.28 - GData 19 2008.12.29 - Ikarus T3.1.1.45.0 2008.12.29 - K7AntiVirus 7.10.568 2008.12.27 - Kaspersky 7.0.0.125 2008.12.29 - McAfee 5477 2008.12.28 - McAfee+Artemis 5477 2008.12.28 - Microsoft 1.4205 2008.12.28 - NOD32 3719 2008.12.27 - Norman 5.80.02 2008.12.26 - Panda 9.0.0.4 2008.12.28 - PCTools 4.4.2.0 2008.12.28 - Prevx1 V2 2008.12.29 - Rising 21.09.62.00 2008.12.28 - SecureWeb-Gateway 6.7.6 2008.12.29 - Sophos 4.37.0 2008.12.28 - Sunbelt 3.2.1809.2 2008.12.22 - Symantec 10 2008.12.29 - TheHacker 6.3.1.4.201 2008.12.28 - TrendMicro 8.700.0.1004 2008.12.26 - VBA32 3.12.8.10 2008.12.28 - ViRobot 2008.12.26.1536 2008.12.26 - VirusBuster 4.5.11.0 2008.12.28 - weitere Informationen File size: 4345133 bytes MD5...: f5085da17c72b3f2aaeaea7a87fc9c8a SHA1..: fae8fa3c794bc729326311202b0835447f1f8379 SHA256: 3621be3680f92d4015e6a62df29bd8e5dc36a05fe740afb19aa1478868cfa1d8 SHA512: 7f6fce2ddd33a6bed8145be2428f750351dd823cccfc9287c1bb85a1cbec5fed 75d509566c58fae5ffd37433c5fb43fd8c4305273e9b2438f584f2f00ff5d2f0 ssdeep: 6144:xmJm21WtR8ZQBgGkjY8t5tQPHgz5tQPHgf5tQPHgp5tQPHg1VR+v3uSVYVV R+v3Y:e1WH8ZQBgGkDCkxCISBNuSQ PEiD..: - TrID..: File type identification Unknown! PEInfo: - ****************************************************** 3. Ich habe mal so lange auf ein Programm geklickt (kam mir vor wie früher bei SummeGames), bis die kurz aufpoppende Shell stehen blieb. Folgende Meldung wurde angezeigt: C:\Windows\System32\CScript.exe Microsoft (R) Windows Script Host, Version 5.6 Copyright blabla Eingabefehler: Für die Dateierweiterung ".exe" gibt es kein Scriptmodul. ******************************************************** 4. Habe mein Festplatte mit AntiVir überprüft (rechte Maustaste im Explorer, dann "Ausgewählte Dateien mit AntiVir überprüfen". Ergebnis: 16 Warnungen, keine Funde. *****************************************************+ 5. Plötzlich taucht, ohne das ich was am Rechner mache, eine Meldung von AntiVir mit Tronjaner-Fund auf: c:\System Volume Information\...\A0015370.dll Ist das Trojanische Pferd TR/Agent.64512 Habe ich gelöscht, keine Beschwerde vom Programm. ABER! Kurze Zeit später der nächste Fund, Rechner wieder nicht in aktiver Benutzung: c:\Dokumente und Einstellungen\pcadmin\...\3fa5e0261.dll Ist das Trojanische Pferd TR/Agent.btxi Auch das gelöscht, doch dann kommt mal wieder: c:\System Volume Information\...\A0031030.dll Ist das Trojanische Pferd TR/Agent.btxi und c:\Dokumente und Einstellungen\pcadmin\...\3fa5e0262.tmp Ist das Trojanische Pferd TR/Agent.btxi Sie lassen sich immer löschen... und kommen doch wieder, wie c:\Dokumente und Einstellungen\pcadmin\...\3fa5e0261.dll Ist das Trojanische Pferd TR/Agent.btxi *************************************************** Soviel von meinem Sytem! Hilft dir/euch das weiter? Wäre toll!!! P.S.: Die Daten (docs etc.) sind ja noch da und kann ich auch auf z. B. eine extrerne Festplatte kopieren - doch verseuche ich mir mit denen auch den nächsten Rechner, wo ich die Daten aufrufe? |
Mittlereweile ist er auch hier gelandet: c:\WINDOWS\system32\config\systemprofile\...\3fa5e0261.dll Ist das Trojanische Pferd TR/Agent.btxi |
Also das WMI Diagnosis Utility -- Version 2.0 von der MS Website ist sicherlich kein Trojaner! en musst du dir wo anders eingefangen haben. - Update die AntiVir Datenbanken. - Wechsel in den abgesicherten Modus. - Führe dort einen Vollscan nach folgender Anleitung durch: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html Überprüfe den Rechner danach mit SuperAntiSpyware und Anti-Malware und poste die logs. |
Danke für die Antwort. Ich habe das Update durchgeführt und prompt kan noch die Meldung, dass die Datei c:\ARKA6F.tmp auch der TR/Agent.btxi ist... Habe den PC im abgesicherten Modus hochgefahren, doch wenn ich AntiVir starten möchte, um es nach der Anleitung zu konfigurieren, bekomme ich die Meldung: Der Dienst kann nicht im abgesicherten Modus gestartet werden. Hast du eine Idee? In der Zwischenzeit lasse ich noch einmal den Scan über die rechte Maustaste über C: laufen. Bis jetzt noch kein Fund - bei 50%. Im abgesicherten Modus habe ich kein Internet. Wie kann ich dann mit mit SUPERAntiSpyware und Anti-Malware testen? Bin um jeden Tipp dankbar... |
AntiVir ist durch und hat zig-mal den Trojaner in diversen dlls gefunden. Ich habe immer brav löschen gedrückt... ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Bei Panda ActiveScan wurden 4 Dateien entdeckt: E:\downloads\6169431\rkfree_setup.exe E:\downloads\223011\HDCleaner181.exe[E:\downl...11\HDCleaner181.exe][HDWiper32.dll] C:\System Volume Information\_restore{C8B5EB2...34-11E132C219D9}\RP195\A0020953.dll C:\Dokumente und Einstellungen\pcadmin\Desktop\rkfree_setup.exe ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Habe mittlerweile Anti-Malware mit ein paar Tricks ausführen können, hier der Report: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1878 Windows 5.1.2600 Service Pack 2 20.03.2009 22:19:16 mbam-log-2009-03-20 (22-19-16).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 202615 Laufzeit: 1 hour(s), 43 minute(s), 53 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 12 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CLASSES_ROOT\exefile\shell\open\command\ (Broken.OpenCommand) -> Bad: (%SystemRoot%\System32\CScript.exe "%1" %*) Good: ("%1" %*) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\piffile\shell\open\command\ (Broken.OpenCommand) -> Bad: (%SystemRoot%\System32\CScript.exe "%1" %*) Good: ("%1" %*) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\scrfile\shell\open\command\ (Broken.OpenCommand) -> Bad: (%SystemRoot%\System32\CScript.exe "%1" %*) Good: ("%1" /S) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: (%SystemRoot%\System32\CScript.exe "%1" %*) Good: (regedit.exe "%1") -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\3fa5e0261.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\pcadmin\ANWEND~1\MACROM~1\Common\3fa5e0261.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\3fa5e0261.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\3fa5e0261.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\3fa5e0261.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\3fa5e0261.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\pcadmin\ANWEND~1\MACROM~1\Common\3fa5e0261.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOKUME~1\LOCALS~1\ANWEND~1\MACROM~1\Common\3fa5e0261.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Versuche mich dann an SUPERAntiSpyware. Bin super gespannt... |
Musste neu starten - und die Programme starten wieder!!! Doch poppte direkt wieder der WMI-Fehler auf, in den Details mit folgenden Infos: C:\DOKUME~1\pcadmin\LOKALE~1\Temp\WER386a.dir00\wmiprvse.exe.mdmp C:\DOKUME~1\pcadmin\LOKALE~1\Temp\WER386a.dir00\appcompat.txt Lasse jetzt SUPERAntiSpyware laufen... |
Moin, hier das Ergebnis von SUPERAntiSpyware: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 03/21/2009 at 01:14 AM Application Version : 4.25.1014 Core Rules Database Version : 3807 Trace Rules Database Version: 1762 Scan type : Complete Scan Total Scan Time : 01:36:39 Memory items scanned : 785 Memory threats detected : 0 Registry items scanned : 7977 Registry threats detected : 0 File items scanned : 122709 File threats detected : 1 Adware.Tracking Cookie C:\Dokumente und Einstellungen\pcadmin\Cookies\pcadmin@doubleclick[1].txt ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
Guten Morgen! Hast du die Panda-Funde entfernen lassen? Danach geht's weiter. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Führe danach nacheinader alle Reparaturen mit SuperAntiSpyware durch. Preferences -> Repairs Öffne danach die Eingabekonsole (Start -> ausführen -> cmd eintippen und mit Enter bestätigen. Gib dort sfc /scannow ein und bestätige mit Enter. Bringt das Besserung? |
Ja, habe die Panda-Ergebnisse gelöscht... Habe SUPERAntiSpyware noch im abgesicherten Modus laufen lassen, dort fand er noch: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 03/21/2009 at 01:00 PM Application Version : 4.25.1014 Core Rules Database Version : 3784 Trace Rules Database Version: 1741 Scan type : Complete Scan Total Scan Time : 03:40:55 Memory items scanned : 222 Memory threats detected : 0 Registry items scanned : 8376 Registry threats detected : 1 File items scanned : 121326 File threats detected : 0 Trojan.Media-Codec HKU\S-1-5-21-1659004503-1202660629-682003330-500\Software\Internet Security Danach wurde das System neu gestartet, in der Systemkonfiguration musste ich dann aber nicht mehr den Haken bei /SAFEBOOT in der BOOT.INI rausnehmen, der war schon weg. Mache dann nachher mit deiner nächsten Anweisung weiter! Finde es btw super, wie du mir schon geholfen hast! |
Habe ComboFix laufen lassen (dafür musste ich AntiVir deinstallieren - konnte den Prozess nicht stoppen) und folgender Report wurde rausgeschrieben: ComboFix 09-03-19.02 - pcadmin 2009-03-22 13:16:58.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1535.1065 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\pcadmin\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat ----- BITS: Eventuell infizierte Webseiten ----- hxxp://gllto.glpals.com . ((((((((((((((((((((((( Dateien erstellt von 2009-02-22 bis 2009-03-22 )))))))))))))))))))))))))))))) . 2009-03-21 18:46 . 2009-03-21 18:29 211 --ah----- C:\boot.ini.SAB 2009-03-21 09:15 . 2009-03-21 09:15 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com 2009-03-20 22:41 . 2009-03-20 22:41 <DIR> d-------- c:\dokumente und einstellungen\pcadmin\Anwendungsdaten\Windows Desktop Search 2009-03-20 22:41 . 2009-03-20 22:41 <DIR> d-------- c:\dokumente und einstellungen\pcadmin\Anwendungsdaten\ATI 2009-03-20 22:32 . 2009-03-20 22:32 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2009-03-20 22:31 . 2009-03-20 22:31 <DIR> d-------- c:\programme\SUPERAntiSpyware 2009-03-20 22:31 . 2009-03-20 22:31 <DIR> d-------- c:\dokumente und einstellungen\pcadmin\Anwendungsdaten\SUPERAntiSpyware.com 2009-03-20 20:21 . 2009-03-20 20:21 <DIR> d-------- c:\dokumente und einstellungen\pcadmin\Anwendungsdaten\Malwarebytes 2009-03-20 20:20 . 2009-03-20 20:21 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-03-20 20:20 . 2009-03-20 20:20 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-03-20 20:20 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-03-20 20:20 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-03-19 20:22 . 2008-06-19 16:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys 2009-03-19 20:20 . 2009-03-19 20:20 <DIR> d-------- c:\programme\Panda Security 2009-03-16 09:24 . 2009-03-16 09:24 <DIR> d-------- c:\programme\TweakNow RegCleaner Std 2009-03-16 08:53 . 2009-03-16 08:53 <DIR> d-------- c:\programme\Process Revealer Free Edition 2009-03-16 08:53 . 2009-03-16 08:53 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\prfree 2009-03-16 08:43 . 2009-03-16 08:43 <DIR> d-------- c:\programme\Daphne 2009-03-15 23:33 . 2009-03-15 23:39 <DIR> d-------- c:\programme\Wise Registry Cleaner 3 2009-03-15 21:03 . 2009-03-22 13:12 <DIR> dr------- c:\dokumente und einstellungen\pcadmin\Eigene Dateien 2009-03-08 17:50 . 2006-07-25 14:43 <DIR> d--h----- c:\dokumente und einstellungen\pcadmin\Vorlagen 2009-03-08 17:50 . 2006-07-25 15:37 <DIR> dr------- c:\dokumente und einstellungen\pcadmin\Startmenü 2009-03-08 17:50 . 2009-03-22 10:56 <DIR> d--h----- c:\dokumente und einstellungen\pcadmin\Netzwerkumgebung 2009-03-08 17:50 . 2006-07-25 15:37 <DIR> d--h----- c:\dokumente und einstellungen\pcadmin\Lokale Einstellungen 2009-03-08 17:50 . 2009-03-20 22:34 <DIR> d-------- c:\dokumente und einstellungen\pcadmin\Favoriten 2009-03-08 17:50 . 2006-07-25 15:37 <DIR> d--h----- c:\dokumente und einstellungen\pcadmin\Druckumgebung 2009-03-08 17:50 . 2009-03-20 22:41 <DIR> dr-h----- c:\dokumente und einstellungen\pcadmin\Anwendungsdaten 2009-03-08 17:50 . 2009-03-22 13:11 <DIR> d-------- c:\dokumente und einstellungen\pcadmin 2009-03-06 17:52 . 2009-03-06 18:04 788,714,300 --a------ c:\dokumente und einstellungen\Administrator\Eigene Dateien.zip 2009-03-06 17:01 . 2004-08-04 08:56 98,304 --a------ c:\windows\system32\cscript_alt.exe 2009-03-06 16:29 . 2009-03-06 16:29 <DIR> d--hs---- C:\$RECYCLE.BIN . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-22 10:32 --------- d-----w c:\programme\McAfee 2009-03-22 10:18 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-03-22 09:59 --------- d-----w c:\programme\CCleaner 2009-03-21 21:53 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater 2009-03-20 21:52 --------- d-----w c:\programme\Companion OneTouch 2009-03-20 21:31 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-03-15 22:48 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2009-03-06 17:13 --------- d-----w c:\programme\Spyware Doctor 2009-03-06 16:16 --------- d-----w c:\programme\Ad-Aware 2009-03-06 15:19 98,304 ----a-w c:\windows\system32\cscript.exe 2009-03-05 11:30 --------- d-----w c:\programme\Plaxo 2009-03-04 09:24 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared 2009-03-04 09:23 --------- d-----w c:\programme\Norton Security Scan 2009-03-01 21:49 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\SACore 2009-02-23 12:37 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2009-02-15 22:33 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SiteAdvisor 2009-02-15 17:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink 2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys 2009-02-04 08:06 --------- d-----w c:\programme\FreePDF_XP 2008-08-20 08:37 14,852 ----a-w c:\programme\settings.dat 2008-01-30 07:05 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat 2007-11-28 19:28 67,696 ----a-w c:\programme\mozilla firefox\components\jar50.dll 2007-11-28 19:28 54,376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll 2007-11-28 19:28 34,952 ----a-w c:\programme\mozilla firefox\components\myspell.dll 2007-11-28 19:28 46,720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll 2007-11-28 19:28 172,144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll 2008-01-03 09:06 51,559,456 --sha-w c:\windows\system32\drivers\fidbox.dat 2008-01-03 09:07 2,370,592 --sha-w c:\windows\system32\drivers\fidbox2.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "type32"="c:\programme\Microsoft IntelliType Pro\type32.exe" [2003-05-16 114688] "StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440] "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648] "OneTouch Monitor"="c:\progra~1\COMPAN~2\ONETOU~3.EXE" [2005-04-05 122880] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2003-07-28 4841472] "MFServices"="c:\programme\Companion Suite IH\MFServices.exe" [2005-04-05 159744] "MFPrintServer"="c:\programme\Companion Suite IH\MFPrintServer.exe" [2005-04-05 65536] "IntelliPoint"="c:\programme\Microsoft IntelliPoint\point32.exe" [2003-05-16 163840] "IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-02-03 40960] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648] "FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272] "AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-07-31 1544192] "CardScanAgent"="c:\programme\CardScan\CardScan\CardScanAgent.exe" [2006-10-20 176128] "Lto Manager"="c:\programme\Quick GPS Connection Data Download Manager\DesktopLtoManager.exe" [2005-06-29 53248] "TrayServer"="c:\programme\MAGIX\Video_deluxe_2007_SE\TrayServer.exe" [2006-10-04 86016] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792] "MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 160768] "SerExt"="SerExt.exe" [2005-03-01 c:\windows\system32\SerExt.exe] "nwiz"="nwiz.exe" [2003-07-28 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ CAPI - Monitor.lnk - c:\programme\Gigaset DECT\capi\Tools\CALLTRAY.exe [2003-06-17 45056] PocketScan Start.lnk.disabled [2008-06-05 579] talk&surf 6.0 - Monitor.lnk - c:\programme\Gigaset DECT\talk&surf_6_0\semon21.exe [2005-03-01 172032] Windows Desktop Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2006-10-19 110080] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-10-19 293888] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.iv41"= ir41_32.dll "msacm.clmp3enc"= c:\progra~1\HOMECI~1\Power2Go\CLMP3Enc.ACM [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk] backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware] --a------ 2009-02-17 11:43 1830128 c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Games\\Command and Conquer Generals\\game.dat"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Games\\Dune2000\\DUNE2000.DAT"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\Home Cinema\\PowerDirector\\PDR.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\WINDOWS\\system32\\sgbxcoms.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-03-19 28544] R1 mfxnt;mfxnt;c:\windows\system32\drivers\mfxnt.sys [2007-03-25 61288] R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-02-17 8944] R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-02-17 55024] R1 uigxrdr;uigxrdr;c:\windows\system32\drivers\uigxrdr.SYS [2007-07-04 148864] R2 CAPI;CAPI 2.0 Service;c:\windows\system32\drivers\capi.sys [2007-01-29 28740] R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\programme\McAfee\SiteAdvisor\McSACore.exe [2008-09-10 210216] R2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2008-02-26 29183504] R2 NDISCAPI;NDIS CAPI Service;c:\windows\system32\drivers\ndiscapi.sys [2007-01-29 41037] R3 DectEnum;DectEnum;c:\windows\system32\drivers\DectEnum.sys [2005-03-01 8448] R3 Gigusb;Dect USB Driver;c:\windows\system32\drivers\Gigusb.sys [2005-03-01 53632] R3 HRCMPA;ISDN Wan driver (Ver. 1.20.0032);c:\windows\system32\drivers\hrcmpa.sys [2004-09-08 263751] R3 HttpUsb;XML interface;c:\windows\system32\drivers\HttpUsb.sys [2007-03-25 31784] R3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0032);c:\windows\system32\drivers\IUAPIWDM.sys [2004-09-08 50759] R3 PAC207;Trust WB-1400T Webcam;c:\windows\system32\drivers\PFC027.sys [2005-02-24 162176] R3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [2005-03-01 113408] R3 TTDVBUSB;TechnoTrend - TT-DVB USB Driver;c:\windows\system32\drivers\ttdvbusb.sys [2007-03-14 59616] R3 UsbItf;MF F@X activities;c:\windows\system32\drivers\UsbItf.sys [2007-03-25 10240] R3 vmdmd;Softmodem/Fax Port Driver;c:\windows\system32\drivers\vmdmd.sys [2003-06-17 185696] R3 xControlCOM;xControlCOM;c:\programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe [2005-03-01 327680] S2 Passwdrenew;Passwdrenew;System32\rnpasswd.exe --> System32\rnpasswd.exe [?] S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [2006-07-25 37568] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [2009-01-04 1527900] S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [2006-07-25 444416] S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2008-01-02 264704] S3 NDISLOOP;Virtual TT-DVB USB Adapter Driver;c:\windows\system32\drivers\ndisloop.sys [2007-03-14 39980] S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-02-17 7408] S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\svcntaux.exe --> c:\programme\Spyware Doctor\svcntaux.exe [?] S3 sgbx_device;sgbx_device;c:\windows\system32\sgbxcoms.exe -service --> c:\windows\system32\sgbxcoms.exe -service [?] S3 telch;Firmware Upload Service;c:\windows\system32\drivers\telch.sys [2007-03-25 33625] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - CSIScanner *Deregistered* - pxark . Inhalt des "geplante Tasks" Ordners 2009-03-20 c:\windows\Tasks\Norton Security Scan.job - c:\programme\Norton Security Scan\Nss.exe [2007-09-18 23:42] 2009-03-22 c:\windows\Tasks\User_Feed_Synchronization-{D7CACACC-420D-4F2A-A877-00C5917C46A0}.job - c:\windows\system32\msfeedssync.exe [2006-10-17 11:58] . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe . ------- Zusätzlicher Suchlauf ------- . mStart Page = about:blank uInternet Connection Wizard,ShellNext = hxxp://mensch-chance.de/ IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 FF - ProfilePath - . . ------- Dateityp-Verknüpfung ------- . chm.file=%SystemRoot%\System32\CScript.exe "%1" %* inffile=%SystemRoot%\System32\CScript.exe "%1" %* . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-22 13:18:24 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(656) c:\programme\SUPERAntiSpyware\SASWINLO.dll c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2009-03-22 13:20:13 ComboFix-quarantined-files.txt 2009-03-22 12:20:11 Vor Suchlauf: 23 Verzeichnis(se), 39.254.085.632 Bytes frei Nach Suchlauf: 23 Verzeichnis(se), 39,312,146,432 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn 228 --- E O F --- 2009-03-16 02:32:08 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ scannow konnte ich nicht durchführen, da das Sytem meine XP-Recovery CD nicht erkannt bzw. akzeptiert hat. Status: PC startet hoch, die Programme lassen sich auch starten und ich hatte jetzt keinen WMI-Fehler. Zwei Fragen: Ist mein Sytem jetzt wieder sauber? Kann ich meine externe Festplatte jetzt wieder anschliessen und wie verhindere ich ein "überspringen", wenn die auch infiziert war? |
Habe wohl Mist gebaut... und brauche noch einmal Hilfe! Nach dem letzten Posting sah ja alles soweit gut aus... bis ich mich unter einem anderen Benutzer (Administrator) angemeldet habe. Spybot S&D fragte mich, ob ich Änderungen in der Registry zulassen wolle (u.a. was mit einer .dll im ZUsammenhang mit Macromedia) und ich habe immer "verweigern" getippt. Hätte ich besser mal gelassen, denn da war mein System wieder so, wie ich es vorher hatte: die Programmstarts wurden wieder in eine Shell umgeleitet. Mist! Also alles von vorne, im Anhang gleich die diversen log-Dateien. Ein anderes Problem habe ich jetzt aber noch - die USB-Ports sind eingeschränkt (wurde ich ja bei ComboFix vor gewarnt) und wenn ich sfc /scannow mache, erkennt er meine XP-CD nicht. Habe mir jetzt noch eine CD von einem Bekannten (auch Vollversion XP Pro) ausgeliehen, aber auch die wird nicht erkannt. So, jetzt hier die logs: Malwarebytes: ***************************************** Malwarebytes' Anti-Malware 1.34 Database version: 1897 Windows 5.1.2600 Service Pack 2 28.03.2009 19:05:46 mbam-log-2009-03-28 (19-05-45).txt Scan type: Full Scan (C:\|) Objects scanned: 203351 Time elapsed: 1 hour(s), 17 minute(s), 42 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 0 Registry Values Infected: 0 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: (No malicious items detected) Registry Values Infected: (No malicious items detected) Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) ***************************************** AntiVir Personal ***************************************** Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 23. März 2009 16:14 Es wird nach 1311617 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Abgesicherter Modus Benutzername : Administrator Computername : MARCUSTOWER Versionsinformationen: BUILD.DAT : 9.0.0.386 17962 Bytes 11.03.2009 15:51:00 AVSCAN.EXE : 9.0.3.3 464641 Bytes 24.02.2009 11:13:22 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26 ANTIVIR2.VDF : 7.1.2.199 1008640 Bytes 22.03.2009 22:00:53 ANTIVIR3.VDF : 7.1.2.200 2048 Bytes 22.03.2009 22:00:53 Engineversion : 8.2.0.120 AEVDF.DLL : 8.1.1.0 106868 Bytes 27.01.2009 16:36:42 AESCRIPT.DLL : 8.1.1.67 364923 Bytes 22.03.2009 22:00:55 AESCN.DLL : 8.1.1.8 127346 Bytes 22.03.2009 22:00:55 AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41 AEPACK.DLL : 8.1.3.10 397686 Bytes 04.03.2009 12:06:10 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56 AEHEUR.DLL : 8.1.0.107 1663352 Bytes 22.03.2009 22:00:55 AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 19:01:56 AEGEN.DLL : 8.1.1.30 336245 Bytes 22.03.2009 22:00:53 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40 AECORE.DLL : 8.1.6.6 176501 Bytes 17.02.2009 13:22:44 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.1 292609 Bytes 09.02.2009 06:52:20 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 10:41:16 RCTEXT.DLL : 9.0.35.0 87809 Bytes 11.03.2009 14:50:50 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Optimierter Suchlauf..................: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Montag, 23. März 2009 16:14 Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\WINDOWS\system32\svchost.exe' Signiert -> 'C:\WINDOWS\system32\winlogon.exe' Signiert -> 'C:\WINDOWS\explorer.exe' Signiert -> 'C:\WINDOWS\system32\smss.exe' Signiert -> 'C:\WINDOWS\system32\wininet.DLL' Signiert -> 'C:\WINDOWS\system32\wsock32.DLL' Signiert -> 'C:\WINDOWS\system32\ws2_32.DLL' Signiert -> 'C:\WINDOWS\system32\services.exe' Signiert -> 'C:\WINDOWS\system32\lsass.exe' Signiert -> 'C:\WINDOWS\system32\csrss.exe' Signiert -> 'C:\WINDOWS\system32\drivers\kbdclass.sys' Signiert -> 'C:\WINDOWS\system32\spoolsv.exe' Signiert -> 'C:\WINDOWS\system32\alg.exe' Signiert -> 'C:\WINDOWS\system32\wuauclt.exe' Signiert -> 'C:\WINDOWS\system32\advapi32.DLL' Signiert -> 'C:\WINDOWS\system32\user32.DLL' Signiert -> 'C:\WINDOWS\system32\gdi32.DLL' Signiert -> 'C:\WINDOWS\system32\kernel32.DLL' Signiert -> 'C:\WINDOWS\system32\ntdll.DLL' Signiert -> 'C:\WINDOWS\system32\ntoskrnl.exe' Signiert -> 'C:\WINDOWS\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf nach versteckten Objekten wird begonnen. Der Treiber konnte nicht initialisiert werden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '11' Prozesse mit '11' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Der Suchlauf über die Bootsektoren wird begonnen: Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '69' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Dokumente und Einstellungen\pcadmin\Desktop\ComboFix.exe [0] Archivtyp: RAR SFX (self extracting) --> 32788R22FWJFW\psexec.cfexe [1] Archivtyp: RSRC --> Object [FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E C:\Dokumente und Einstellungen\pcadmin\Desktop\rkfree_setup.exe [FUND] Enthält Erkennungsmuster des SPR/RevealerKeylogger.F-Programmes Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\pcadmin\Desktop\ComboFix.exe [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a34d477.qua' verschoben! C:\Dokumente und Einstellungen\pcadmin\Desktop\rkfree_setup.exe [FUND] Enthält Erkennungsmuster des SPR/RevealerKeylogger.F-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2dd475.qua' verschoben! Ende des Suchlaufs: Montag, 23. März 2009 19:25 Benötigte Zeit: 1:58:51 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 9252 Verzeichnisse wurden überprüft 376295 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 376292 Dateien ohne Befall 3261 Archive wurden durchsucht 1 Warnungen 3 Hinweise ***************************************** |
Hier Teil 2, im nächsten Beitrag geht es weiter, da ist auch die Beschreibung! . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvMediaCenter"="c:\windows\system32\NVMCTRAY.DLL" [2003-07-28 49152] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "type32"="c:\programme\Microsoft IntelliType Pro\type32.exe" [2003-05-16 114688] "StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2003-07-28 4841472] "IntelliPoint"="c:\programme\Microsoft IntelliPoint\point32.exe" [2003-05-16 163840] "Lto Manager"="c:\programme\Quick GPS Connection Data Download Manager\DesktopLtoManager.exe" [2005-06-29 53248] "MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2004-08-04 160768] "AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2006-07-31 1544192] "nwiz"="nwiz.exe" [2003-07-28 c:\windows\system32\nwiz.exe] "SerExt"="SerExt.exe" [2005-03-01 c:\windows\system32\SerExt.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ PocketScan Start.lnk.disabled [2008-06-05 579] Windows Desktop Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2006-10-19 110080] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-10-19 293888] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.iv41"= ir41_32.dll "msacm.clmp3enc"= c:\progra~1\HOMECI~1\Power2Go\CLMP3Enc.ACM [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk] backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CAPI - Monitor.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\CAPI - Monitor.lnk backup=c:\windows\pss\CAPI - Monitor.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-10-15 01:04 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CardScanAgent] --a------ 2006-10-20 08:33 176128 c:\programme\CardScan\CardScan\CardScanAgent.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2004-08-04 08:57 15360 c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant] --a------ 2005-05-27 10:24 310272 c:\programme\FreePDF_XP\fpassist.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] --a------ 2007-08-24 07:00 33648 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent] --a------ 2006-11-13 13:50 1289000 c:\programme\Microsoft ActiveSync\wcescomm.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch] --a------ 2005-02-03 09:58 40960 c:\programme\ScanSoft\PaperPort\IndexSearch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MFPrintServer] --a------ 2005-04-05 02:37 65536 c:\programme\Companion Suite IH\MFPrintServer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MFServices] --a------ 2005-04-05 02:29 159744 c:\programme\Companion Suite IH\MFServices.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OneTouch Monitor] --a------ 2005-04-05 03:24 122880 c:\progra~1\COMPAN~2\ONETOU~3.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PlaxoUpdate] --a------ 2008-11-19 13:49 382023 c:\programme\Plaxo\3.17.0.16\PlaxoHelper_de.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SDTray] --a------ 2007-10-02 16:27 1065288 c:\programme\Spyware Doctor\SDTrayApp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate] -ra------ 2003-10-14 10:22 155648 c:\programme\Gemeinsame Dateien\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware] --a------ 2009-02-17 11:43 1830128 c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrayServer] --a------ 2006-10-04 15:41 86016 c:\programme\MAGIX\Video_deluxe_2007_SE\Trayserver.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "SpybotSD TeaTimer"=c:\programme\Spybot - Search & Destroy\TeaTimer.exe "Power2GoExpress"="c:\programme\Home Cinema\Power2Go\Power2GoExpress.exe" /Startup [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Games\\Command and Conquer Generals\\game.dat"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Games\\Dune2000\\DUNE2000.DAT"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\Home Cinema\\PowerDirector\\PDR.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\WINDOWS\\system32\\sgbxcoms.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-03-19 28544] R1 mfxnt;mfxnt;c:\windows\system32\drivers\mfxnt.sys [2007-03-25 61288] R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-02-17 8944] R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-02-17 55024] R1 uigxrdr;uigxrdr;c:\windows\system32\drivers\uigxrdr.SYS [2007-07-04 148864] R2 CAPI;CAPI 2.0 Service;c:\windows\system32\drivers\capi.sys [2007-01-29 28740] R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\programme\McAfee\SiteAdvisor\McSACore.exe [2008-09-10 210216] R2 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2008-02-26 29183504] R2 NDISCAPI;NDIS CAPI Service;c:\windows\system32\drivers\ndiscapi.sys [2007-01-29 41037] R3 DectEnum;DectEnum;c:\windows\system32\drivers\DectEnum.sys [2005-03-01 8448] R3 Gigusb;Dect USB Driver;c:\windows\system32\drivers\Gigusb.sys [2005-03-01 53632] R3 HRCMPA;ISDN Wan driver (Ver. 1.20.0032);c:\windows\system32\drivers\hrcmpa.sys [2004-09-08 263751] R3 HttpUsb;XML interface;c:\windows\system32\drivers\HttpUsb.sys [2007-03-25 31784] R3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0032);c:\windows\system32\drivers\IUAPIWDM.sys [2004-09-08 50759] R3 PAC207;Trust WB-1400T Webcam;c:\windows\system32\drivers\PFC027.sys [2005-02-24 162176] R3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [2005-03-01 113408] R3 TTDVBUSB;TechnoTrend - TT-DVB USB Driver;c:\windows\system32\drivers\ttdvbusb.sys [2007-03-14 59616] R3 UsbItf;MF F@X activities;c:\windows\system32\drivers\UsbItf.sys [2007-03-25 10240] R3 vmdmd;Softmodem/Fax Port Driver;c:\windows\system32\drivers\vmdmd.sys [2003-06-17 185696] S2 Passwdrenew;Passwdrenew;System32\rnpasswd.exe --> System32\rnpasswd.exe [?] S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [2006-07-25 37568] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [2009-01-04 1527900] S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [2006-07-25 444416] S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [2008-01-02 264704] S3 NDISLOOP;Virtual TT-DVB USB Adapter Driver;c:\windows\system32\drivers\ndisloop.sys [2007-03-14 39980] S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-02-17 7408] S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\svcntaux.exe --> c:\programme\Spyware Doctor\svcntaux.exe [?] S3 sgbx_device;sgbx_device;c:\windows\system32\sgbxcoms.exe -service --> c:\windows\system32\sgbxcoms.exe -service [?] S3 telch;Firmware Upload Service;c:\windows\system32\drivers\telch.sys [2007-03-25 33625] S3 xControlCOM;xControlCOM;c:\programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe [2005-03-01 327680] . Inhalt des "geplante Tasks" Ordners 2009-03-26 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-24 00:54] 2009-03-20 c:\windows\Tasks\Norton Security Scan.job - c:\programme\Norton Security Scan\Nss.exe [2007-09-18 23:42] 2009-03-25 c:\windows\Tasks\User_Feed_Synchronization-{D7CACACC-420D-4F2A-A877-00C5917C46A0}.job - c:\windows\system32\msfeedssync.exe [2006-10-17 11:58] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-CardScan AutoSync - (no file) HKLM-Run-pdfSaver3 - (no file) . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank mStart Page = about:blank IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 Trusted Zone: mh-beratung.com\www FF - ProfilePath - . . ------- Dateityp-Verknüpfung ------- . chm.file=%SystemRoot%\System32\CScript.exe "%1" %* inffile=%SystemRoot%\System32\CScript.exe "%1" %* . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-26 18:33:38 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(660) c:\programme\SUPERAntiSpyware\SASWINLO.dll c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2009-03-26 18:35:44 ComboFix-quarantined-files.txt 2009-03-26 17:35:31 ComboFix2.txt 2009-03-22 12:20:14 Vor Suchlauf: 23 Verzeichnis(se), 39.256.911.872 Bytes frei Nach Suchlauf: 22 Verzeichnis(se), 39,303,544,832 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn 485 --- E O F --- 2009-03-16 02:32:08 ***************************************** Vielen Dank für Eure Hilfe!!! |
Hier das ComboFix-log Teil 1a, passte nicht mehr in den anderen Beitrag. Bitte meine Einträge von heute davor lesen!!! ComboFix: ***************************************** ComboFix 09-03-25.04 - Administrator 2009-03-26 18:32:20.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1535.1093 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat ----- BITS: Eventuell infizierte Webseiten ----- hxxp://gllto.glpals.com . ((((((((((((((((((((((( Dateien erstellt von 2009-02-26 bis 2009-03-26 )))))))))))))))))))))))))))))) . 2009-03-22 22:56 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys 2009-03-22 22:31 . 2009-03-22 22:31 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2009-03-22 15:34 . 2001-08-18 04:52 66,048 --a--c--- c:\windows\system32\dllcache\s3legacy.dll 2009-03-22 13:33 . 2009-03-22 13:33 <DIR> d-------- c:\windows\system32\config\systemprofile\Anwendungsdaten\SACore 2009-03-21 09:15 . 2009-03-21 09:15 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com 2009-03-20 22:41 . 2009-03-20 22:41 <DIR> d-------- c:\dokumente und einstellungen\pcadmin\Anwendungsdaten\Windows Desktop Search 2009-03-20 22:41 . 2009-03-20 22:41 <DIR> d-------- c:\dokumente und einstellungen\pcadmin\Anwendungsdaten\ATI 2009-03-20 22:32 . 2009-03-20 22:32 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2009-03-20 22:31 . 2009-03-20 22:31 <DIR> d-------- c:\programme\SUPERAntiSpyware 2009-03-20 22:31 . 2009-03-20 22:31 <DIR> d-------- c:\dokumente und einstellungen\pcadmin\Anwendungsdaten\SUPERAntiSpyware.com 2009-03-20 20:21 . 2009-03-20 20:21 <DIR> d-------- c:\dokumente und einstellungen\pcadmin\Anwendungsdaten\Malwarebytes 2009-03-20 20:20 . 2009-03-20 20:21 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-03-20 20:20 . 2009-03-20 20:20 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-03-20 20:20 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-03-20 20:20 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-03-19 20:22 . 2008-06-19 16:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys 2009-03-19 20:20 . 2009-03-19 20:20 <DIR> d-------- c:\programme\Panda Security 2009-03-16 09:24 . 2009-03-16 09:24 <DIR> d-------- c:\programme\TweakNow RegCleaner Std 2009-03-16 08:53 . 2009-03-16 08:53 <DIR> d-------- c:\programme\Process Revealer Free Edition 2009-03-16 08:53 . 2009-03-16 08:53 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\prfree 2009-03-16 08:43 . 2009-03-16 08:43 <DIR> d-------- c:\programme\Daphne 2009-03-15 23:33 . 2009-03-15 23:39 <DIR> d-------- c:\programme\Wise Registry Cleaner 3 2009-03-15 21:03 . 2009-03-22 13:12 <DIR> dr------- c:\dokumente und einstellungen\pcadmin\Eigene Dateien 2009-03-08 17:50 . 2006-07-25 14:43 <DIR> d--h----- c:\dokumente und einstellungen\pcadmin\Vorlagen 2009-03-08 17:50 . 2006-07-25 15:37 <DIR> dr------- c:\dokumente und einstellungen\pcadmin\Startmenü 2009-03-08 17:50 . 2009-03-22 10:56 <DIR> d--h----- c:\dokumente und einstellungen\pcadmin\Netzwerkumgebung 2009-03-08 17:50 . 2009-03-26 18:33 <DIR> d--h----- c:\dokumente und einstellungen\pcadmin\Lokale Einstellungen 2009-03-08 17:50 . 2009-03-20 22:34 <DIR> d-------- c:\dokumente und einstellungen\pcadmin\Favoriten 2009-03-08 17:50 . 2006-07-25 15:37 <DIR> d--h----- c:\dokumente und einstellungen\pcadmin\Druckumgebung 2009-03-08 17:50 . 2009-03-20 22:41 <DIR> dr-h----- c:\dokumente und einstellungen\pcadmin\Anwendungsdaten 2009-03-08 17:50 . 2009-03-22 19:10 <DIR> d-------- c:\dokumente und einstellungen\pcadmin 2009-03-06 17:52 . 2009-03-06 18:04 788,714,300 --a------ c:\dokumente und einstellungen\Administrator\Eigene Dateien.zip 2009-03-06 17:01 . 2004-08-04 08:56 98,304 --a------ c:\windows\system32\cscript_alt.exe 2009-03-06 16:29 . 2009-03-06 16:29 <DIR> d--hs---- C:\$RECYCLE.BIN . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-26 16:39 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-03-26 16:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater 2009-03-26 15:51 --------- d-----w c:\programme\Plaxo 2009-03-25 15:22 --------- d-----w c:\programme\Spybot - Search & Destroy 2009-03-25 15:19 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-03-22 10:32 --------- d-----w c:\programme\McAfee 2009-03-22 09:59 --------- d-----w c:\programme\CCleaner 2009-03-20 21:52 --------- d-----w c:\programme\Companion OneTouch 2009-03-20 21:31 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-03-15 22:48 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2009-03-06 17:13 --------- d-----w c:\programme\Spyware Doctor 2009-03-06 16:16 --------- d-----w c:\programme\Ad-Aware 2009-03-06 15:19 98,304 ----a-w c:\windows\system32\cscript.exe 2009-03-04 09:24 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared 2009-03-04 09:23 --------- d-----w c:\programme\Norton Security Scan 2009-03-01 21:49 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\SACore 2009-02-23 12:37 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2009-02-15 22:33 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SiteAdvisor 2009-02-15 17:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink 2009-02-09 14:14 1,846,400 ----a-w c:\windows\system32\win32k.sys 2009-02-04 08:06 --------- d-----w c:\programme\FreePDF_XP 2008-08-20 08:37 14,852 ----a-w c:\programme\settings.dat 2008-01-30 07:05 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat 2007-11-28 19:28 67,696 ----a-w c:\programme\mozilla firefox\components\jar50.dll 2007-11-28 19:28 54,376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll 2007-11-28 19:28 34,952 ----a-w c:\programme\mozilla firefox\components\myspell.dll 2007-11-28 19:28 46,720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll 2007-11-28 19:28 172,144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll 2008-01-03 09:06 51,559,456 --sha-w c:\windows\system32\drivers\fidbox.dat 2008-01-03 09:07 2,370,592 --sha-w c:\windows\system32\drivers\fidbox2.dat |
Hier das ComboFix-log Teil 1b, passte nicht mehr in den anderen Beitrag. Bitte meine Einträge von heute davor lesen!!! ((((((((((((((((((((((((((((( SnapShot@2009-03-22_13.19.19,15 ))))))))))))))))))))))))))))))))))))))))) . + 2001-08-17 13:06:48 11,264 -c--a-w c:\windows\system32\dllcache\1394vdbg.sys + 2001-08-17 12:28:00 762,780 -c--a-w c:\windows\system32\dllcache\3cwmcru.sys + 2001-08-18 03:52:40 689,216 -c--a-w c:\windows\system32\dllcache\3dfxvs.dll + 2001-08-17 11:48:32 148,352 -c--a-w c:\windows\system32\dllcache\3dfxvsm.sys + 2004-08-04 07:00:04 12,288 -c--a-w c:\windows\system32\dllcache\4mmdat.sys + 2001-08-18 03:52:40 38,400 -c--a-w c:\windows\system32\dllcache\8514a.dll + 2001-09-19 11:32:26 720,896 -c--a-w c:\windows\system32\dllcache\a3d.dll + 2001-08-18 03:52:56 462,848 -c--a-w c:\windows\system32\dllcache\a3dapi.dll + 2001-08-17 12:52:00 23,552 -c--a-w c:\windows\system32\dllcache\abp480n5.sys + 2002-08-28 22:00:48 231,552 -c--a-w c:\windows\system32\dllcache\ac97ali.sys + 2001-08-17 11:20:04 96,256 -c--a-w c:\windows\system32\dllcache\ac97intc.sys + 2001-08-17 11:20:16 297,728 -c--a-w c:\windows\system32\dllcache\ac97sis.sys + 2002-08-28 22:00:56 84,480 -c--a-w c:\windows\system32\dllcache\ac97via.sys + 2004-08-04 07:57:40 188,416 -c--a-w c:\windows\system32\dllcache\accwiz.exe + 2001-08-18 03:52:56 61,952 -c--a-w c:\windows\system32\dllcache\acerscad.dll + 2004-08-04 07:57:14 1,852,416 -c--a-w c:\windows\system32\dllcache\acgenral.dll + 2004-08-04 07:57:14 450,048 -c--a-w c:\windows\system32\dllcache\aclayers.dll + 2004-08-04 07:57:14 137,728 -c--a-w c:\windows\system32\dllcache\aclua.dll + 2004-08-04 07:57:14 120,320 -c--a-w c:\windows\system32\dllcache\aclui.dll + 2004-08-04 07:37:03 188,800 -c--a-w c:\windows\system32\dllcache\acpi.sys + 2003-07-21 21:31:24 12,160 -c--a-w c:\windows\system32\dllcache\acpiec.sys + 2004-08-04 07:57:14 244,736 -c--a-w c:\windows\system32\dllcache\acspecfc.dll + 2004-08-04 07:57:14 194,560 -c--a-w c:\windows\system32\dllcache\activeds.dll + 2004-08-04 07:57:40 4,096 -c--a-w c:\windows\system32\dllcache\actmovie.exe + 2004-08-04 07:57:14 101,888 -c--a-w c:\windows\system32\dllcache\actxprxy.dll + 2004-08-04 07:57:14 116,224 -c--a-w c:\windows\system32\dllcache\acxtrnal.dll + 2001-08-17 12:53:02 7,424 -c--a-w c:\windows\system32\dllcache\adicvls.sys + 2001-08-17 11:11:18 20,160 -c--a-w c:\windows\system32\dllcache\adm8511.sys + 2001-08-17 11:19:10 584,448 -c--a-w c:\windows\system32\dllcache\adm8810.sys + 2001-08-17 11:19:14 553,984 -c--a-w c:\windows\system32\dllcache\adm8820.sys + 2001-08-17 11:19:14 747,392 -c--a-w c:\windows\system32\dllcache\adm8830.sys + 2004-08-04 07:57:14 29,696 -c--a-w c:\windows\system32\dllcache\admexs.dll + 2004-08-04 07:57:14 20,540 -c--a-w c:\windows\system32\dllcache\admin.dll + 2004-08-04 07:57:41 16,439 -c--a-w c:\windows\system32\dllcache\admin.exe + 2002-08-28 22:00:48 10,880 -c--a-w c:\windows\system32\dllcache\admjoy.sys + 2004-08-04 07:57:14 43,520 -c--a-w c:\windows\system32\dllcache\admwprox.dll + 2001-08-17 11:11:16 46,112 -c--a-w c:\windows\system32\dllcache\adptsf50.sys + 2001-08-17 13:07:32 101,888 -c--a-w c:\windows\system32\dllcache\adpu160m.sys + 2004-08-04 07:57:14 290,816 -c--a-w c:\windows\system32\dllcache\adsiis51.dll + 2004-08-04 07:57:14 175,616 -c--a-w c:\windows\system32\dllcache\adsldp.dll + 2004-08-04 07:57:14 143,360 -c--a-w c:\windows\system32\dllcache\adsldpc.dll + 2004-08-04 07:57:14 68,096 -c--a-w c:\windows\system32\dllcache\adsmsext.dll + 2004-08-04 07:57:14 263,680 -c--a-w c:\windows\system32\dllcache\adsnt.dll + 2004-08-04 07:57:14 4,255 -c--a-w c:\windows\system32\dllcache\adv01nt5.dll + 2004-08-04 07:57:14 3,967 -c--a-w c:\windows\system32\dllcache\adv02nt5.dll + 2004-08-04 07:57:14 3,615 -c--a-w c:\windows\system32\dllcache\adv05nt5.dll + 2004-08-04 07:57:14 3,647 -c--a-w c:\windows\system32\dllcache\adv07nt5.dll + 2004-08-04 07:57:14 3,135 -c--a-w c:\windows\system32\dllcache\adv08nt5.dll + 2004-08-04 07:57:14 3,711 -c--a-w c:\windows\system32\dllcache\adv09nt5.dll + 2004-08-04 07:57:14 3,775 -c--a-w c:\windows\system32\dllcache\adv11nt5.dll + 2004-08-04 07:57:14 677,888 -c--a-w c:\windows\system32\dllcache\advapi32.dll + 2006-02-15 00:22:26 142,464 -c--a-w c:\windows\system32\dllcache\aec.sys + 2004-08-04 07:57:14 24,064 -c--a-w c:\windows\system32\dllcache\agentanm.dll + 2004-08-04 07:57:14 214,016 -c--a-w c:\windows\system32\dllcache\agentctl.dll + 2004-08-04 07:57:14 49,152 -c--a-w c:\windows\system32\dllcache\agentmpx.dll + 2004-08-04 07:57:14 24,064 -c--a-w c:\windows\system32\dllcache\agentpsh.dll + 2004-08-04 07:57:14 44,032 -c--a-w c:\windows\system32\dllcache\agentsr.dll + 2004-08-04 06:07:41 42,368 -c--a-w c:\windows\system32\dllcache\agp440.sys + 2004-08-04 06:07:42 44,928 -c--a-w c:\windows\system32\dllcache\agpcpq.sys + 2004-08-04 07:57:14 24,064 -c--a-w c:\windows\system32\dllcache\agtintl.dll + 2001-08-17 12:52:02 12,800 -c--a-w c:\windows\system32\dllcache\aha154x.sys + 2004-08-04 07:57:41 98,304 -c--a-w c:\windows\system32\dllcache\ahui.exe + 2001-08-17 13:07:36 55,168 -c--a-w c:\windows\system32\dllcache\aic78u2.sys + 2004-08-04 07:57:14 126,976 -c--a-w c:\windows\system32\dllcache\apphelp.dll + 2004-08-04 07:57:14 65,024 -c--a-w c:\windows\system32\dllcache\asycfilt.dll + 2004-08-04 07:57:14 30,208 -c--a-w c:\windows\system32\dllcache\atmlib.dll + 2004-08-04 07:57:14 20,540 -c--a-w c:\windows\system32\dllcache\author.dll + 2004-08-04 07:57:41 16,439 -c--a-w c:\windows\system32\dllcache\author.exe + 2004-08-04 07:54:38 16,896 -c--a-w c:\windows\system32\dllcache\cfgmgr32.dll + 2004-08-04 07:57:44 188,480 -c--a-w c:\windows\system32\dllcache\cfgwiz.exe + 2004-08-04 07:57:16 47,104 -c--a-w c:\windows\system32\dllcache\coadmin.dll + 2004-08-04 07:57:16 281,088 -c--a-w c:\windows\system32\dllcache\comdlg32.dll + 2004-08-04 07:57:16 253,440 -c--a-w c:\windows\system32\dllcache\compatui.dll + 2004-08-04 07:57:16 602,624 -c--a-w c:\windows\system32\dllcache\crypt32.dll + 2004-08-04 07:57:16 76,800 -c--a-w c:\windows\system32\dllcache\cryptdlg.dll + 2004-08-04 07:57:16 33,280 -c--a-w c:\windows\system32\dllcache\cryptdll.dll + 2004-08-04 07:57:16 54,784 -c--a-w c:\windows\system32\dllcache\cryptext.dll + 2004-08-04 07:57:16 63,488 -c--a-w c:\windows\system32\dllcache\cryptnet.dll + 2004-08-04 07:57:16 60,416 -c--a-w c:\windows\system32\dllcache\cryptsvc.dll + 2004-08-04 07:57:16 530,944 -c--a-w c:\windows\system32\dllcache\cryptui.dll + 2004-08-04 07:58:31 299,520 -c--a-w c:\windows\system32\dllcache\drmclien.dll + 2004-08-04 07:57:17 87,040 -c--a-w c:\windows\system32\dllcache\drmstor.dll + 2004-08-04 07:57:17 16,384 -c--a-w c:\windows\system32\dllcache\ds32gt.dll + 2004-08-04 05:31:43 137,216 -c--a-w c:\windows\system32\dllcache\dssenh.dll + 2004-08-04 07:57:18 380,957 -c--a-w c:\windows\system32\dllcache\expsrv.dll + 2004-08-04 06:14:16 143,360 -c--a-w c:\windows\system32\dllcache\fastfat.sys + 2004-08-04 07:57:18 184,435 -c--a-w c:\windows\system32\dllcache\fp4amsft.dll + 2004-08-04 07:57:18 82,035 -c--a-w c:\windows\system32\dllcache\fp4anscp.dll + 2004-08-04 07:57:18 147,513 -c--a-w c:\windows\system32\dllcache\fp4apws.dll + 2004-08-04 07:57:18 49,210 -c--a-w c:\windows\system32\dllcache\fp4areg.dll + 2004-08-04 07:57:18 102,509 -c--a-w c:\windows\system32\dllcache\fp4atxt.dll + 2004-08-04 07:57:18 41,020 -c--a-w c:\windows\system32\dllcache\fp4avnb.dll + 2004-08-04 07:57:19 32,826 -c--a-w c:\windows\system32\dllcache\fp4avss.dll + 2004-08-04 07:57:19 49,212 -c--a-w c:\windows\system32\dllcache\fp4awebs.dll + 2004-08-04 07:57:19 876,653 -c--a-w c:\windows\system32\dllcache\fp4awel.dll + 2004-08-04 07:57:54 15,120 -c--a-w c:\windows\system32\dllcache\fp98sadm.exe + 2004-08-04 07:57:54 109,840 -c--a-w c:\windows\system32\dllcache\fp98swin.exe + 2004-08-04 07:57:54 188,494 -c--a-w c:\windows\system32\dllcache\fpcount.exe + 2004-08-04 07:57:19 20,541 -c--a-w c:\windows\system32\dllcache\fpexedll.dll + 2004-08-04 07:57:19 598,071 -c--a-w c:\windows\system32\dllcache\fpmmc.dll + 2004-08-04 07:54:56 217,088 -c--a-w c:\windows\system32\dllcache\fpmmcsat.dll + 2004-08-04 07:57:54 20,538 -c--a-w c:\windows\system32\dllcache\fpremadm.exe + 2004-08-04 07:57:21 68,608 -c--a-w c:\windows\system32\dllcache\iisext51.dll + 2004-08-04 07:57:21 64,512 -c--a-w c:\windows\system32\dllcache\iismap.dll + 2004-08-04 07:57:57 30,720 -c--a-w c:\windows\system32\dllcache\iisrstas.exe + 2004-08-04 07:57:21 133,632 -c--a-w c:\windows\system32\dllcache\iisrtl.dll + 2004-08-04 07:57:21 36,921 -c--a-w c:\windows\system32\dllcache\imeshare.dll + 2004-08-04 07:57:21 847,360 -c--a-w c:\windows\system32\dllcache\inetmgr.dll + 2004-08-04 07:57:21 13,312 -c--a-w c:\windows\system32\dllcache\infoadmn.dll + 2004-08-04 06:14:28 74,752 -c--a-w c:\windows\system32\dllcache\ipsec.sys + 2004-08-04 07:57:21 68,608 -c--a-w c:\windows\system32\dllcache\isatq.dll + 2005-05-27 02:04:47 155,136 -c--a-w c:\windows\system32\dllcache\itircl.dll + 2005-05-27 02:04:47 137,216 -c--a-w c:\windows\system32\dllcache\itss.dll + 2006-10-18 20:47:14 11,264 -c--a-w c:\windows\system32\dllcache\laprxy.dll + 2004-08-04 07:57:23 1,028,096 -c--a-w c:\windows\system32\dllcache\mfc42.dll + 2004-08-04 07:57:23 22,528 -c--a-w c:\windows\system32\dllcache\mfcsubs.dll + 2004-08-04 07:58:03 4,639 -c--a-w c:\windows\system32\dllcache\mplayer2.exe + 2004-08-04 07:55:25 20,480 -c--a-w c:\windows\system32\dllcache\msadcer.dll + 2004-08-04 07:57:24 61,440 -c--a-w c:\windows\system32\dllcache\msadcf.dll + 2004-08-04 07:55:25 16,384 -c--a-w c:\windows\system32\dllcache\msadcfr.dll + 2006-03-23 05:46:11 143,360 -c--a-w c:\windows\system32\dllcache\msadco.dll + 2004-08-04 07:55:25 16,384 -c--a-w c:\windows\system32\dllcache\msadcor.dll + 2004-08-04 07:57:24 53,248 -c--a-w c:\windows\system32\dllcache\msadcs.dll + 2004-08-04 07:57:24 155,648 -c--a-w c:\windows\system32\dllcache\msadds.dll + 2004-08-04 07:55:25 24,576 -c--a-w c:\windows\system32\dllcache\msaddsr.dll + 2004-08-04 07:55:25 28,672 -c--a-w c:\windows\system32\dllcache\msader15.dll + 2004-08-04 07:57:24 57,344 -c--a-w c:\windows\system32\dllcache\msador15.dll + 2004-08-04 07:57:24 57,344 -c--a-w c:\windows\system32\dllcache\msadrh15.dll + 2004-08-04 07:57:24 36,864 -c--a-w c:\windows\system32\dllcache\mscpxl32.dll + 2004-08-04 07:57:24 4,096 -c--a-w c:\windows\system32\dllcache\msdadc.dll + 2004-08-04 07:57:24 4,096 -c--a-w c:\windows\system32\dllcache\msdaenum.dll + 2004-08-04 07:57:24 4,096 -c--a-w c:\windows\system32\dllcache\msdaer.dll + 2004-08-04 07:57:25 233,472 -c--a-w c:\windows\system32\dllcache\msdaora.dll + 2004-08-04 07:57:25 77,824 -c--a-w c:\windows\system32\dllcache\msdaosp.dll + 2004-08-04 07:55:26 16,384 -c--a-w c:\windows\system32\dllcache\msdaprsr.dll + 2004-08-04 07:57:25 200,704 -c--a-w c:\windows\system32\dllcache\msdaprst.dll + 2004-08-04 07:57:25 204,800 -c--a-w c:\windows\system32\dllcache\msdaps.dll + 2004-08-04 07:57:25 118,784 -c--a-w c:\windows\system32\dllcache\msdarem.dll + 2004-08-04 07:55:26 16,384 -c--a-w c:\windows\system32\dllcache\msdaremr.dll + 2004-08-04 07:57:25 4,096 -c--a-w c:\windows\system32\dllcache\msdasc.dll + 2004-08-04 07:57:25 315,392 -c--a-w c:\windows\system32\dllcache\msdasql.dll + 2004-08-04 07:55:27 16,384 -c--a-w c:\windows\system32\dllcache\msdasqlr.dll + 2004-08-04 07:57:25 20,480 -c--a-w c:\windows\system32\dllcache\msdatt.dll + 2004-08-04 07:57:25 4,096 -c--a-w c:\windows\system32\dllcache\msdaurl.dll + 2004-08-04 07:57:25 36,864 -c--a-w c:\windows\system32\dllcache\msdfmap.dll + 2004-08-04 07:55:27 4,126 -c--a-w c:\windows\system32\dllcache\msdxmlc.dll + 2004-08-04 07:57:28 143,360 -c--a-w c:\windows\system32\dllcache\msorcl32.dll + 2004-08-04 07:57:28 343,040 -c--a-w c:\windows\system32\dllcache\msvcrt.dll + 2004-08-04 05:58:25 61,440 -c--a-w c:\windows\system32\dllcache\msvcrt40.dll + 2004-08-04 07:57:29 24,576 -c--a-w c:\windows\system32\dllcache\msxactps.dll + 2004-08-04 06:14:31 91,776 -c--a-w c:\windows\system32\dllcache\ndiswan.sys + 2004-08-04 07:57:31 10,240 -c--a-w c:\windows\system32\dllcache\npwmsdrm.dll + 2004-08-04 07:57:08 733,696 -c--a-w c:\windows\system32\dllcache\ntdll.dll + 2004-08-04 07:57:31 249,856 -c--a-w c:\windows\system32\dllcache\odbc32.dll + 2004-08-04 07:57:31 16,384 -c--a-w c:\windows\system32\dllcache\odbc32gt.dll + 2004-08-04 07:58:07 32,768 -c--a-w c:\windows\system32\dllcache\odbcad32.exe + 2004-08-04 07:57:31 135,168 -c--a-w c:\windows\system32\dllcache\odbcconf.dll + 2004-08-04 07:58:07 69,632 -c--a-w c:\windows\system32\dllcache\odbcconf.exe + 2004-08-04 07:57:31 106,496 -c--a-w c:\windows\system32\dllcache\odbccp32.dll + 2004-08-04 07:57:31 65,536 -c--a-w c:\windows\system32\dllcache\odbccr32.dll + 2004-08-04 07:57:31 65,536 -c--a-w c:\windows\system32\dllcache\odbccu32.dll + 2004-08-04 07:55:51 102,400 -c--a-w c:\windows\system32\dllcache\odbcint.dll + 2004-08-04 07:55:51 57,616 -c--a-w c:\windows\system32\dllcache\odbcji32.dll + 2004-08-04 07:57:31 278,559 -c--a-w c:\windows\system32\dllcache\odbcjt32.dll + 2004-08-04 07:57:31 147,456 -c--a-w c:\windows\system32\dllcache\odbctrac.dll + 2004-08-04 07:57:31 20,511 -c--a-w c:\windows\system32\dllcache\oddbse32.dll + 2004-08-04 07:57:31 20,510 -c--a-w c:\windows\system32\dllcache\odexl32.dll + 2004-08-04 07:57:31 20,510 -c--a-w c:\windows\system32\dllcache\odfox32.dll + 2004-08-04 07:57:31 20,510 -c--a-w c:\windows\system32\dllcache\odpdx32.dll + 2004-08-04 07:57:31 20,511 -c--a-w c:\windows\system32\dllcache\odtext32.dll + 2005-07-26 04:39:49 1,285,120 -c--a-w c:\windows\system32\dllcache\ole32.dll + 2004-08-04 07:57:31 487,424 -c--a-w c:\windows\system32\dllcache\oledb32.dll + 2004-08-04 07:57:31 73,728 -c--a-w c:\windows\system32\dllcache\oledb32r.dll + 2004-08-04 07:57:32 83,456 -c--a-w c:\windows\system32\dllcache\olepro32.dll + 2004-08-04 05:31:43 152,576 -c--a-w c:\windows\system32\dllcache\rsaenh.dll + 2004-08-04 07:57:33 64,000 -c--a-w c:\windows\system32\dllcache\samlib.dll + 2004-08-04 07:57:33 429,568 -c--a-w c:\windows\system32\dllcache\samsrv.dll + 2004-08-04 07:57:33 159,744 -c--a-w c:\windows\system32\dllcache\scrobj.dll + 2004-08-04 07:57:33 151,552 -c--a-w c:\windows\system32\dllcache\scrrun.dll + 2004-08-04 07:58:11 78,336 -c--a-w c:\windows\system32\dllcache\sdbinst.exe + 2004-08-02 12:20:40 4,569 -c--a-w c:\windows\system32\dllcache\secupd.dat + 2004-08-03 22:57:34 988,672 -c--a-w c:\windows\system32\dllcache\setupapi.dll + 2004-08-04 07:57:33 5,120 -c--a-w c:\windows\system32\dllcache\sfc.dll + 2004-08-04 07:57:33 1,548,288 -c--a-w c:\windows\system32\dllcache\sfcfiles.dll + 2004-08-04 07:57:33 65,536 -c--a-w c:\windows\system32\dllcache\shimeng.dll + 2004-08-04 07:57:34 20,536 -c--a-w c:\windows\system32\dllcache\shtml.dll + 2004-08-04 07:58:12 16,437 -c--a-w c:\windows\system32\dllcache\shtml.exe + 2004-08-04 07:57:34 25,600 -c--a-w c:\windows\system32\dllcache\slayerxp.dll + 2004-08-04 07:57:34 189,952 -c--a-w c:\windows\system32\dllcache\smtpadm.dll + 2004-08-04 07:57:34 2,134,528 -c--a-w c:\windows\system32\dllcache\smtpsnap.dll + 2004-08-04 07:57:35 8,192 -c--a-w c:\windows\system32\dllcache\staxmem.dll + 2004-08-04 07:58:15 108,032 -c--a-w c:\windows\system32\dllcache\sysocmgr.exe + 2004-08-04 07:58:15 32,827 -c--a-w c:\windows\system32\dllcache\tcptest.exe + 2004-08-04 07:56:35 16,384 -c--a-w c:\windows\system32\dllcache\tcptsat.dll + 2005-08-23 03:39:57 124,416 -c--a-w c:\windows\system32\dllcache\umpnpmgr.dll + 2007-06-29 10:02:06 318,464 -c--a-w c:\windows\system32\dllcache\unregmp2.exe + 2004-08-04 07:57:36 30,749 -c--a-w c:\windows\system32\dllcache\vbajet32.dll + 2004-08-04 07:58:19 507,392 -c--a-w c:\windows\system32\dllcache\winlogon.exe + 2004-08-04 07:57:37 176,640 -c--a-w c:\windows\system32\dllcache\wintrust.dll - 2007-11-08 17:03:26 21,248 ----a-w c:\windows\system32\drivers\ssmdrv.sys + 2009-02-13 10:49:58 28,376 ----a-w c:\windows\system32\drivers\ssmdrv.sys + 2008-07-29 07:05:06 161,784 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.ATL_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_d01483b2\atl90.dll + 2008-07-29 02:54:08 225,280 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcm90.dll + 2008-07-29 07:05:08 572,928 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcp90.dll + 2008-07-29 07:05:08 655,872 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcr90.dll + 2008-07-29 07:05:08 3,768,312 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90.dll + 2008-07-29 07:05:10 3,783,672 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90u.dll + 2008-07-29 05:07:42 59,904 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfcm90.dll + 2008-07-29 05:07:42 59,904 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfcm90u.dll + 2008-07-29 07:05:06 38,912 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90chs.dll + 2008-07-29 07:05:06 39,936 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90cht.dll + 2008-07-29 07:05:08 66,560 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90deu.dll + 2008-07-29 07:05:08 56,832 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90enu.dll + 2008-07-29 07:05:06 65,024 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esn.dll + 2008-07-29 07:05:08 65,024 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esp.dll + 2008-07-29 07:05:06 66,048 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90fra.dll + 2008-07-29 07:05:08 64,512 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90ita.dll + 2008-07-29 07:05:08 46,592 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90jpn.dll + 2008-07-29 07:05:08 46,080 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90kor.dll + 2008-07-29 07:05:08 62,976 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90rus.dll + 2007-11-07 01:19:20 54,272 ----a-w c:\windows\WinSxS\x86_Microsoft.VC90.OpenMP_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_ecc42bd1\vcomp90.dll . -- Snapshot auf jetziges Datum zurückgesetzt -- |
Das du die Registrierungs Änderungen mit Spybot nicht zugelassen hast war das beste was du hättest machen können! Allerdings hat es dich scheinbar nicht davor bewahrt einen Rückfall zu erleiden. Ganz ehrlich: Ich würde den Rechner neuaufsetzten. Mit dem Macromedia Rootkit ist nicht zu Spaßen. Du kannst vorher mal gucken ob Scans mit LiveCDs den Schädling zu fassen bekommen: Kaspersky LiveCD: Downloade die Iso Datei von hier: http://dnl-eu10.kaspersky-labs.com/d...ds/RescueDisk/ Brenne die Iso Datei mit einem Brennprogramm deiner Wahl. Kostenlos und gut ist zum Beispiel der CdBurnerXP Einfach die iso Datei als Daten-CD auf einen leeren Rohling brennen. Lege die Cd ins Laufwerk ein und starte den Rechner neu. Er sollte nun von der CD booten und das Mini-Betriebssystem starten. Wenn der Rechner nicht von der CD bootet sondern ganz normal Windows startet musst du im BIOS den boot device ändern.(Google Hilft ;) ) Kasperksy09 wird bereits gestartet sein. Klicke auf Update -> Update starten und warte bis die Aufgabe beendet wurde und die Siganturen aktuell sind. Setze unter Settings -> Scan: den Haken bei All Archives. Wähle unter Settings -> Threads and Exclusions -> Settings: alle Bedrohungen aus. Einen Haken musst du selber für "other Programms" setzen. Wähle dann im Hauptfenster alle deine Festplatten sowie die Laufwerksbootsektoren aus (einfach alles auswählen!) und starte den Scan. Ist der Scan beendet rufe das log auf und speichere es. Panda: http://acs.pandasoftware.com/soporte...safedisk32.zip Wie oben beschrieben brennen. Wenn du ein Disketten Laufwerk hast speichere den Bericht bitte auf einer Diskette und poste ihn uns dann. Wenn du kein DiskLaufwerk hast dann musst du die Funde abschreiben!!!! Unbedingt den kompletten Dateipfad und den Schädlingsnamen abschreiben! Da ist sehr wichtig! Auch alle verdächtigen Dateien und ScanFehler abschreiben! Quasi den ganzen Bericht.. ;) |
Werde das mit der LiveCD versuchen und ansonsten den Rechner neu aufsetzen. Ich muss vorher nur noch vorher meine Daten sichern. Dazu zwei Fragen: 1. Wie bekomme ich nach ComboFix meine USB und CD/DVD-Funktionalität wieder? 2. Ist davon auszugehen, dass "das Böse" sich irgendwo im Windows-Verzeichnis befindet, sprich ich meine Docs und Xls' etc. gefahrlos auf dem neuen Rechner verwenden kann? P.S.: War den in den Log-Files was auffälliges zu sehen? |
Zitat:
Wenn die LiveCD Suche Ergebnisse bringt dann poste diese! Dann machen wir mit der Bereinigung weiter. Ansonsten: Bereinigung nach einer Kompromitierung Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird. Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei mit Administrator-Rechten aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!! |
LiveCDs sind durch, Panda hat nichts gefunden und das log von Kapersky sieht so aus: Scan: completed 3/31/09 11:06 AM (events: 59, objects: , time: 00:00:00) 3/31/09 11:06 AM Task completed 3/30/09 11:33 PM Deleted: not-a-virus:RemoteAdmin.Win32.WinVNC.4 /discs/C:/Festplatte D/Software Sources/Clients-Guide30_Demo.exe 3/30/09 11:31 PM Detected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 /discs/C:/Festplatte D/Software Sources/Clients-Guide30_Demo.exe/file110 3/30/09 11:28 PM Password protected /discs/C:/Dokumente und Einstellungen/pcadmin/Anwendungsdaten/SUPERAntiSpyware.com/SUPERAntiSpyware/Quarantine/Quarantine - 03-21-2009 - 07-50-23.SBU/backup.db 3/30/09 11:28 PM Password protected /discs/C:/Dokumente und Einstellungen/pcadmin/Anwendungsdaten/SUPERAntiSpyware.com/SUPERAntiSpyware/Quarantine/Quarantine - 03-21-2009 - 07-50-23.SBU/{2A52FBEE-8688-479E-AAC9-EA60A5698148} 3/30/09 11:27 PM Password protected /discs/C:/Dokumente und Einstellungen/All Users/Anwendungsdaten/Spybot - Search & Destroy/Recovery/ZlobIVideoCodec.zip/sbRecovery.ini 3/30/09 11:27 PM Password protected /discs/C:/Dokumente und Einstellungen/All Users/Anwendungsdaten/Spybot - Search & Destroy/Recovery/ZlobIVideoCodec.zip/sbRecovery.reg 3/30/09 10:57 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/WISO Mein Geld/Backup/MeinGeld~1.mgz/MeinGeld.mgd 3/30/09 10:57 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/WISO Mein Geld/Backup/MeinGeld(2)~5.mgz/MeinGeld(2).mgd 3/30/09 10:57 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/WISO Mein Geld/Backup/MeinGeld(2)~4.mgz/MeinGeld(2).mgd 3/30/09 10:57 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/WISO Mein Geld/Backup/MeinGeld(2)~3.mgz/MeinGeld(2).mgd 3/30/09 10:57 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/WISO Mein Geld/Backup/MeinGeld(2)~2.mgz/MeinGeld(2).mgd 3/30/09 10:57 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/WISO Mein Geld/Backup/MeinGeld(2)~1.mgz/MeinGeld(2).mgd 3/30/09 10:57 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/WISO Mein Geld/MeinGeld.mgz/MeinGeld.mgd 3/30/09 10:57 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/WISO Mein Geld/MeinGeld(2).mgz/MeinGeld(2).mgd 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/sprite1.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/preview.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/main.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/glyph7.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/glyph6.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/glyph5.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/glyph4.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/glyph3.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/glyph2.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/glyph1.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/defbtn3.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/defbtn2.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/defbtn1.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/checkbox4.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/checkbox3.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/checkbox2.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/checkbox1.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt62.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt61.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt53.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt52.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt51.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt43.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt42.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt41.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt33.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt32.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt31.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt23.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt22.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt21.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt13.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt12.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bt11.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/bck1.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/arrow2.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/arrow1.bmp 3/30/09 10:47 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Eigene Dateien/Eigene Bilder/aawsepersonal.exe/WISE0020.BIN/Ad-Aware SE Default.skn 3/30/09 10:44 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Anwendungsdaten/SUPERAntiSpyware.com/SUPERAntiSpyware/Quarantine/Quarantine - 03-23-2009 - 01-15-25.SBU/backup.db 3/30/09 10:44 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Anwendungsdaten/SUPERAntiSpyware.com/SUPERAntiSpyware/Quarantine/Quarantine - 03-23-2009 - 01-15-25.SBU/{C63B2189-92EF-4BB6-871C-762051B9A308} 3/30/09 10:44 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Anwendungsdaten/SUPERAntiSpyware.com/SUPERAntiSpyware/Quarantine/Quarantine - 03-23-2009 - 01-15-25.SBU/{1FCB2A96-AA1C-4E9B-89D7-D8BD41E8E1B0} 3/30/09 10:44 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Anwendungsdaten/SUPERAntiSpyware.com/SUPERAntiSpyware/Quarantine/Quarantine - 03-23-2009 - 01-15-25.SBU/{134E2B71-599D-496E-8B42-2B1B7B5EA9F7} 3/30/09 10:44 PM Password protected /discs/C:/Dokumente und Einstellungen/Administrator/Anwendungsdaten/SUPERAntiSpyware.com/SUPERAntiSpyware/Quarantine/Quarantine - 03-21-2009 - 13-05-23.SBU/backup.db 3/30/09 10:40 PM Task started |
Die Suche mit mbr hat folgendes log ergeben: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK Sieht alles sauber aus... *schulterzuckend* |
Der MBR ist sauber. War aber auch nur eine reine VorsichtsMaßnahme. Folge dieser Anleitung (Analyse und Bereinigung) und poste den rapport. |
Und da ist der rapport.txt: SmitFraudFix v2.405 Scan done at 23:29:32,25, 01.04.2009 Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\McAfee\SiteAdvisor\McSACore.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\Explorer.EXE C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Quick GPS Connection Data Download Manager\DesktopLtoManager.exe C:\WINDOWS\system32\SerExt.exe C:\Programme\avmwlanstick\wlangui.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\PROGRA~1\COMPAN~2\ONETOU~3.EXE C:\Programme\Companion Suite IH\MFServices.exe C:\Programme\Companion Suite IH\MFPrintServer.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\CardScan\CardScan\CardScanAgent.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\Wcescomm.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Plaxo\3.17.0.16\PlaxoHelper_de.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Gigaset DECT\capi\Tools\CALLTRAY.exe C:\Programme\Windows Desktop Search\WindowsSearch.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\SearchProtocolHost.exe C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\Policies.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» o4Patch !!!Attention, following keys are not inevitably infected!!! o4Patch Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix !!!Attention, following keys are not inevitably infected!!! Agent.OMZ.Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, following keys are not inevitably infected!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix !!!Attention, following keys are not inevitably infected!!! 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," "System"="" »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: 3Com 3C905TX-basierter Ethernetadapter (Standard) #2 - Paketplaner-Miniport DNS Server Search Order: 192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{FCB6EB09-33AD-455F-BEE8-FEC479BEBF67}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{FCB6EB09-33AD-455F-BEE8-FEC479BEBF67}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{FCB6EB09-33AD-455F-BEE8-FEC479BEBF67}: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End |
Folgendes: Wäre die Maschine mein Rechner würde ich neuaufsetzen. Bei dir läuft ein fieses Teil das ich die letzte Zeit häufiger sehe. Das lässt auf nichts gutes schließen. Evtl. sitzt du schon in einem BotNEtz. Wir können versuchen das zu bereinigen aber der Erfolg ist nicht gewährleistet; die Sicherheit deiner Daten sowie so nicht. Deine Entscheidung... Wenn du sagst: "Weitermachen!" dann poste ich dir wie es weiter geht. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 11:32 Uhr. |
Copyright ©2000-2024, Trojaner-Board