| IchBinIchBin | 24.04.2009 12:31 |
vshost.exe konnte nicht gefunden werden / mehrere Trojaner
Hallo liebes Trojaner-Board Team :)
Ich bin ebenfalls ein Leidensgenosse und bei der Suche durchs Internet auf Euch hier gestossen.
Seit ein paar Wochen bin ich echt am Verzweifeln, da meine Festplatten als normale Ordner angezeigt werden. Wenn ich doppelklicke öffnet sich ein neues Explorer Fenster. Soweit so gut - das ist ja noch nicht soooo schlimm (aber komsch dennoch).
Doch seit 3 Tagen geht gar nix mehr. Windows schreit, dass die vshost.exe fehlt und ich kann ebenfalls nur mit rechtsklick und "öffnen" auf meine Partitionen zugreifen.
Nun wollte ich Euch mein ComboFix-Log zeigen und auf Hilfe hoffen. Doch die Commodo-Firewall hat sich nciht und nicht deaktivieren lassen. Weder über den Taskmanager noch manuell das "Service" stoppen. Hat alles nichts geholfen. komisch... :uglyhammer:
Das einzige was ich machen konnte was eine komplette deinstallation. Danach konnte ich zumindest Combo-Fix rennen lassen.
Egal - lange rede kurzer Sinn. Bitte liebe Leute helft mir meinen Rechner wieder arbeitsfähig zu machen :party:
Hier mal das CoboFix-Log. Ich hoffe auf baldige Hilfe und warte gespannt :daumenhoc Zitat:
ComboFix 09-04-24.01 - Eugen 24.04.2009 13:16.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.3582.3263 [GMT 2:00]
Running from: c:\documents and settings\Eugen\Desktop\ComboFix.exe
* Created a new restore point
.
ADS - WINDOWS: deleted 72 bytes in 1 streams.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
E:\Autorun.inf
F:\Autorun.inf
G:\Autorun.inf
H:\Autorun.inf
J:\Autorun.inf
L:\Autorun.inf
.
((((((((((((((((((((((((( Files Created from 2009-05-24 to 2009-4-24 )))))))))))))))))))))))))))))))
.
2009-04-24 10:43 . 2009-04-24 10:44 -------- d-----w C:\32788R22FWJFW.0.tmp
2009-04-17 09:12 . 2009-04-17 17:11 -------- d-----w c:\documents and settings\Eugen\Application Data\WinAmp
2009-04-14 11:33 . 2007-05-17 15:30 318976 ----a-w c:\windows\system32\avisynth.dll
2009-04-14 11:33 . 2004-02-22 08:11 719872 ----a-w c:\windows\system32\devil.dll
2009-04-14 11:33 . 2005-07-14 10:31 27648 ----a-w c:\windows\system32\AVSredirect.dll
2009-04-14 11:33 . 2004-01-24 22:00 70656 ----a-w c:\windows\system32\yv12vfw.dll
2009-04-14 11:33 . 2004-01-24 22:00 70656 ----a-w c:\windows\system32\i420vfw.dll
2009-04-05 08:20 . 2009-04-05 08:21 -------- d-----w c:\documents and settings\Eugen\Local Settings\Application Data\ACD Systems
2009-04-01 11:00 . 2005-05-26 13:34 2297552 ----a-w c:\windows\system32\d3dx9_26.dll
2009-03-29 12:32 . 2009-03-29 12:34 -------- d-----w c:\windows\system32\Adobe
2009-03-27 16:19 . 2009-03-27 16:19 -------- d--h--w c:\windows\PIF
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-24 11:12 . 2009-02-22 18:32 -------- d-----w c:\program files\COMODO
2009-04-24 11:10 . 2009-02-22 18:31 -------- d-----w c:\documents and settings\All Users\Application Data\Comodo
2009-04-24 10:42 . 2009-02-22 17:18 -------- d-----w c:\documents and settings\Eugen\Application Data\Skype
2009-04-24 07:53 . 2009-02-22 17:20 -------- d-----w c:\documents and settings\Eugen\Application Data\skypePM
2009-04-21 21:06 . 2009-02-22 10:43 45352 ----a-w c:\documents and settings\Eugen\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-04-14 11:33 . 2009-04-14 11:33 -------- d-----w c:\program files\AviSynth 2.5
2009-04-06 17:00 . 2009-02-22 16:10 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-06 16:16 . 2009-04-06 16:16 -------- d-----w c:\program files\Common Files\EZB Systems
2009-04-05 08:20 . 2009-02-25 18:18 -------- d-----w c:\program files\Common Files\ACD Systems
2009-04-03 22:18 . 2009-03-01 22:05 -------- d-----w c:\documents and settings\Eugen\Application Data\dvdcss
2009-04-01 22:06 . 2009-02-23 17:52 -------- d-----w c:\program files\Common Files\Adobe
2009-04-01 11:00 . 2009-04-01 11:00 -------- d-----w c:\program files\MSXML 4.0
2009-03-19 15:08 . 2009-03-19 15:08 499712 ----a-w c:\windows\system32\msvcp71.dll
2009-03-19 15:08 . 2009-03-19 15:08 348160 ----a-w c:\windows\system32\msvcr71.dll
2009-03-18 19:17 . 2009-03-13 15:29 -------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2009-03-18 13:07 . 2009-03-18 13:07 -------- d-----w c:\documents and settings\All Users\Application Data\ACD Systems
2009-03-17 08:07 . 2009-03-24 13:18 198144 --sh--r C:\vshost.exe
2009-03-13 16:29 . 2009-03-13 16:29 -------- d-----w c:\documents and settings\Eugen\Application Data\ACD Systems
2009-03-13 15:29 . 2009-03-13 15:29 -------- d-----w c:\documents and settings\Eugen\Application Data\URSoft
2009-03-12 12:40 . 2009-03-11 23:11 413696 ----a-w c:\windows\system32\wrap_oal.dll
2009-03-12 12:40 . 2009-03-11 23:11 110592 ----a-w c:\windows\system32\OpenAL32.dll
2009-03-11 23:11 . 2009-03-11 23:11 -------- d-----w c:\program files\OpenAL
2009-03-09 03:19 . 2009-02-26 07:19 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-02 23:18 . 2009-02-22 16:59 -------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-03-01 23:17 . 2009-03-01 23:17 -------- d-----w c:\documents and settings\Eugen\Application Data\Media Player Classic
2009-03-01 23:13 . 2009-03-01 22:04 -------- d-----w c:\documents and settings\Eugen\Application Data\vlc
2009-03-01 22:14 . 2009-03-01 22:14 -------- d-----w c:\documents and settings\All Users\Application Data\SlySoft
2009-03-01 22:01 . 2009-02-26 20:09 -------- d-----w c:\documents and settings\All Users\Application Data\Nero
2009-02-28 21:49 . 2009-02-22 10:29 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-02-28 18:20 . 2009-02-28 18:20 -------- d-----w c:\documents and settings\All Users\Application Data\nView_Profiles
2009-02-26 20:23 . 2009-02-26 20:23 -------- d-----w c:\documents and settings\Eugen\Application Data\Nero
2009-02-26 20:22 . 2009-02-26 20:09 -------- d-----w c:\program files\Common Files\Nero
2009-02-26 20:15 . 2009-02-26 20:15 -------- d-----w c:\program files\Windows Sidebar
2009-02-25 18:18 . 2009-02-25 18:18 10368 ----a-w c:\windows\system32\drivers\pfc.sys
2009-02-23 17:47 . 2009-02-23 15:46 -------- d-----w c:\program files\NOS
2009-02-23 17:47 . 2009-02-23 15:46 -------- d-----w c:\documents and settings\All Users\Application Data\NOS
2009-02-22 18:32 . 2009-02-22 18:32 253688 ----a-w c:\windows\system32\cssdll32.dll
2009-02-22 16:25 . 2009-02-22 16:25 319488 ----a-w c:\windows\HideWin.exe
2009-02-22 16:11 . 2009-02-22 16:11 376832 ----a-w c:\windows\system32\AegisI5Installer.exe
2009-02-22 10:27 . 2009-02-22 10:27 21640 ----a-w c:\windows\system32\emptyregdb.dat
2009-01-29 21:54 . 2009-01-29 21:54 89256 ----a-w c:\windows\system32\ElbyCDIO.dll
2006-05-03 10:06 . 2009-04-14 11:32 163328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2009-04-14 11:32 31232 --sh--r c:\windows\system32\msfDX.dll
2008-03-16 13:30 . 2009-04-14 11:32 216064 --sh--r c:\windows\system32\nbDX.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-06 14:20 279944 ----a-w c:\program files\AskBarDis\bar\bin\askBar.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-08-06 279944]
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-16 1630208]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\cssdll32.dll
[HKLM\~\startupfolder\C:^Documents and Settings^Eugen^Start Menu^Programs^Startup^TV-Browser.url]
path=c:\documents and settings\Eugen\Start Menu\Programs\Startup\TV-Browser.url
backup=c:\windows\pss\TV-Browser.urlStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"cmdAgent"=2 (0x2)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"NVSvc"=2 (0x2)
"Nero BackItUp Scheduler 4.0"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"IDriverT"=3 (0x3)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Skype\\Phone\\Skype.exe"=
S1 tvtool;tvtool;e:\tvtool\tvtool.sys [1996-04-03 5248]
S3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;c:\windows\system32\DRIVERS\rt2870.sys [2007-07-29 517632]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vshost.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{23523526-01f0-11de-9ac4-0016e6dd0c0f}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL vshost.exe
.
.
------- Supplementary Scan -------
.
uInternet Connection Wizard,ShellNext = hxxp://store.steampowered.com/screenshot/view/7168/?size=1024
IE: Nach Microsoft E&xel exportieren - e:\office\Office12\EXCEL.EXE/3000
TCP: {FDE4A225-13B7-4A45-9727-850B6FBADC1B} = 195.34.133.10,195.34.133.11
FF - ProfilePath - c:\documents and settings\Eugen\Application Data\Mozilla\Firefox\Profiles\nc7dhq8o.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.at
FF - component: e:\mozilla firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\systemprogramme\Java\bin\new_plugin\npdeploytk.dll
FF - plugin: c:\systemprogramme\Java\bin\new_plugin\npjp2.dll
FF - plugin: e:\acrobat reader\Reader\browser\nppdf32.dll
FF - plugin: e:\vlc player\npvlc.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-24 13:17
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2009-04-24 13:17
ComboFix-quarantined-files.txt 2009-04-24 11:17
Pre-Run: 41.511.788.544 bytes free
Post-Run: 41.505.304.576 bytes free
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
157
| | 