Trojaner-Board - BV:AutoRun-G[Wrm] in J:\autorun.inf

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - BV:AutoRun-G[Wrm] in J:\autorun.inf (https://www.trojaner-board.de/72699-bv-autorun-g-wrm-j-autorun-inf.html)

alles schön und gut..

aber auf der CureIt Dr.Web Anleitungsseite fehlen einige Bilder, wo ich Einstellungen ändern soll, um einen Komplett Scan durchzuführen und wie ich es abspeichern soll!

mfg

Ich muss gestehen, ich habe die Anleitung noch nie gelesen, es allerdings neulich noch benutzt. Das lässt sich doch fast intuitiv bedienen. Die Einstellungen spielen keine Rolle. Es geht nur um die Funde und das Protokoll. CureIt wird nach Gebrauch sowieso wieder deinstalliert.

ciao, andreas

alles Klar.. dann mach ich das mal..

mfg

Also, habe alles durchgeführt bis auf den scan mit prevXCSI.

Hier die Logs der einzelnen Scans:

Dr.Web:

Code:

spoolsv.exe;j:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013;BackDoor.IRC.Sdbot.3506;Gelöscht.;

ComboFix.exe/data002\32788R22FWJFW\FIND3M.bat;C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop\ComboFix.exe/data002;Wahrscheinlich BATCH.Virus;;

ComboFix.exe/data002\32788R22FWJFW\psexec.cfexe;C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop\ComboFix.exe/data002;Program.PsExec.171;;

data002;C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop;Archiv enthält infizierte Objekte;;

ComboFix.exe;C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop;Container enthält infizierte Objekte;;

spoolsv.exe.vir;C:\Qoobox\Quarantine\C\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013;BackDoor.IRC.Sdbot.3506;Gelöscht.;

A0000357.exe;C:\System Volume Information\_restore{05D3A049-F5BC-4C9A-8D8B-7A2B9812C714}\RP2;BackDoor.IRC.Sdbot.3506;Gelöscht.;

A0000387.bat;C:\System Volume Information\_restore{05D3A049-F5BC-4C9A-8D8B-7A2B9812C714}\RP2;Wahrscheinlich BATCH.Virus;;

A0000451.bat;C:\System Volume Information\_restore{05D3A049-F5BC-4C9A-8D8B-7A2B9812C714}\RP2;Wahrscheinlich BATCH.Virus;;

A0000566.EXE;C:\System Volume Information\_restore{05D3A049-F5BC-4C9A-8D8B-7A2B9812C714}\RP2;Program.PsExec.170;;

A0000594.bat;C:\System Volume Information\_restore{05D3A049-F5BC-4C9A-8D8B-7A2B9812C714}\RP2;Wahrscheinlich BATCH.Virus;;

ActiveScan-Log:

Code:

;***********************************************************************************************************************************************************************************

ANALYSIS: 2009-05-03 23:03:50

PROTECTIONS: 1

MALWARE: 1

SUSPECTS: 2

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description                                  Version                       Active    Updated

;===================================================================================================================================================================================

avast! antivirus 4.8.1335 [VPS 090503-0]     4.8.1335                      Yes       Yes

;===================================================================================================================================================================================

MALWARE

Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location

;===================================================================================================================================================================================

02885963  Rootkit/Booto.C                    Virus/Worm          No        0         Yes            No           C:\System Volume Information\_restore{05D3A049-F5BC-4C9A-8D8B-7A2B9812C714}\RP2\A0000554.sys

;===================================================================================================================================================================================

SUSPECTS

Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              

;===================================================================================================================================================================================

No        C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop\ComboFix.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                     

No        C:\Dokumente und Einstellungen\Moamer Hamzic\DoctorWeb\Quarantine\ComboFix.exe                                                                                                                                                                                                                                                                                                                                                                                                                                        

;===================================================================================================================================================================================

VULNERABILITIES

Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                

;===================================================================================================================================================================================

;===================================================================================================================================================================================

Hier noch eine Info:

Avast zeigt mir KEINE Warnmeldung mehr, auch wenn der Stick angesteckt ist! Auf dem Stick befindet sich nur mehr der Ordner "Recycler". Die autorun.inf ist nicht mehr da.

mfg

so, jetz habe ich mein system mit prevXCSI auch gescannt:

precXCSI Log in gekürtzter Fassung (zu viele Zeichen); Hier werden nur die gefundenen Risiken angezeigt:

Code:

Prevx Scan Log - Version v3.0.1.65

Log Generated: 4/5/2009 22:42, Type: 0,1

Windows XP Professional Service Pack 3 (Build 2600) 32bit|1031

Some non-malicious files are not included in this log.

Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)

Last Scan: Mon 2009-05-04 22:40:49 Westeuropäische Normalzeit. Number of Scans: 1. Last Scan Duration: 1 minute 47 seconds.

[BP] c:\windows\vfind.exe        [PX5: F8B1CE87006684ABCA8901BE6505AF008413DBFC]        Malware Group: High Risk Cloaked Malware

[B] (ACTIVE) c:\windows\system32\btncopyd.dll        [PX5: FD4F622000F6ECB54C55007819286B0055977D9A]        Malware Group: High Risk Worm
 
 

End of Prevx Scan Log - http://www.prevx.com

Wie soll ich nun weiter vorgehen??

mfg

Die Meldungen von CureIt gefallen mir gar nicht. :(

1.) Lade die Datei

Code:

c:\windows\system32\btncopyd.dll

bitte gemäß dieser Anleitung bei uns hoch.

2.) Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

(Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Entf um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein)

ciao, andreas

Hier das geforderte Log:

Code:



   --------------------\\  Lop S&D 4.2.5-0   XP/Vista
 

   Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3

   X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     T7300  @ 2.00GHz )

   BIOS : ZD1 v1.3708 3G08

   USER : XXX ( Administrator )

   BOOT : Normal boot

   Antivirus : avast! antivirus 4.8.1335 [VPS 090504-0] 4.8.1335 (Activated)

   C:\ (Local Disk) - NTFS - Total:111 Go (Free:51 Go)

   D:\ (Local Disk) - NTFS - Total:108 Go (Free:54 Go)

   E:\ (CD or DVD)

   F:\ (CD or DVD)

   G:\ (CD or DVD)

   H:\ (CD or DVD)

   I:\ (CD or DVD)

   J:\ (USB) - FAT32 - Total:3848 Mo (Free:3 Go)
 

   "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )

   Option : [1] ( 04.05.2009|23:09 )

 

   --------------------\\  Ordner Verzeichnis unter ANWEND~1
 

   [12.12.2008|19:52] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft

   [0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes

   [3|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei
 

   [31.07.2008|13:24] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Intel

   [05.08.2008|02:07] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Microsoft

   [0|Datei(en)] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Bytes

   [4|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Bytes frei
 

   [27.08.2008|22:56] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe

   [01.08.2008|15:18] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FLEXnet

   [05.03.2009|18:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield

   [31.07.2008|13:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Intel

   [18.10.2008|18:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\KONAMI

   [17.03.2009|10:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Macromedia

   [04.05.2009|01:55] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MAGIX

   [03.05.2009|15:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes

   [30.04.2009|09:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!

   [04.12.2008|17:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft

   [28.04.2009|22:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help

   [23.12.2008|19:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Novatel Wireless

   [31.07.2008|15:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles

   [17.02.2009|10:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TechSmith

   [03.03.2009|01:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP

   [06.03.2009|12:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TrackMania

   [20.10.2008|12:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller

   [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes

   [19|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei
 

   [31.07.2008|13:24] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Intel

   [05.08.2008|02:07] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft

   [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes

   [4|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei
 

   [31.07.2008|13:24] C:\DOKUME~1\LOCALS~1\ANWEND~1\Intel

   [30.07.2008|23:19] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft

   [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes

   [4|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei
 

   [29.09.2008|11:26] C:\DOKUME~1\MOAMER~1\ANWEND~1\Adobe

   [25.03.2009|20:14] C:\DOKUME~1\MOAMER~1\ANWEND~1\Audacity

   [20.03.2009|11:17] C:\DOKUME~1\MOAMER~1\ANWEND~1\Axon2009

   [13.04.2009|15:18] C:\DOKUME~1\MOAMER~1\ANWEND~1\CoSoSys

   [01.08.2008|01:22] C:\DOKUME~1\MOAMER~1\ANWEND~1\DAEMON Tools

   [07.10.2008|15:41] C:\DOKUME~1\MOAMER~1\ANWEND~1\FileZilla

   [27.02.2009|11:39] C:\DOKUME~1\MOAMER~1\ANWEND~1\Google

   [26.10.2008|20:31] C:\DOKUME~1\MOAMER~1\ANWEND~1\Hamachi

   [30.07.2008|23:25] C:\DOKUME~1\MOAMER~1\ANWEND~1\Identities

   [05.03.2009|18:59] C:\DOKUME~1\MOAMER~1\ANWEND~1\InstallShield

   [31.07.2008|13:24] C:\DOKUME~1\MOAMER~1\ANWEND~1\Intel

   [14.10.2008|14:55] C:\DOKUME~1\MOAMER~1\ANWEND~1\KompoZer

   [03.10.2008|08:46] C:\DOKUME~1\MOAMER~1\ANWEND~1\Leadertech

   [17.03.2009|10:15] C:\DOKUME~1\MOAMER~1\ANWEND~1\Macromedia

   [02.12.2008|10:54] C:\DOKUME~1\MOAMER~1\ANWEND~1\MAGIX

   [03.05.2009|15:57] C:\DOKUME~1\MOAMER~1\ANWEND~1\Malwarebytes

   [25.03.2009|12:52] C:\DOKUME~1\MOAMER~1\ANWEND~1\Microsoft

   [24.02.2009|00:19] C:\DOKUME~1\MOAMER~1\ANWEND~1\Microsoft Games

   [01.08.2008|01:10] C:\DOKUME~1\MOAMER~1\ANWEND~1\Mozilla

   [20.02.2009|19:17] C:\DOKUME~1\MOAMER~1\ANWEND~1\Red Alert 3

   [04.12.2008|17:06] C:\DOKUME~1\MOAMER~1\ANWEND~1\SecuROM

   [10.10.2008|10:25] C:\DOKUME~1\MOAMER~1\ANWEND~1\Sun

   [15.01.2009|10:48] C:\DOKUME~1\MOAMER~1\ANWEND~1\TeamViewer

   [08.01.2009|11:13] C:\DOKUME~1\MOAMER~1\ANWEND~1\Teeworlds

   [01.08.2008|01:43] C:\DOKUME~1\MOAMER~1\ANWEND~1\vlc

   [06.11.2008|20:54] C:\DOKUME~1\MOAMER~1\ANWEND~1\Winamp

   [31.07.2008|16:41] C:\DOKUME~1\MOAMER~1\ANWEND~1\WinRAR

   [0|Datei(en)] C:\DOKUME~1\MOAMER~1\ANWEND~1\Bytes

   [29|Verzeichnis(se),] C:\DOKUME~1\MOAMER~1\ANWEND~1\Bytes frei
 

   [31.07.2008|13:24] C:\DOKUME~1\NETWOR~1\ANWEND~1\Intel

   [05.08.2008|02:06] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft

   [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes

   [4|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

 

   --------------------\\  Geplante Aufgaben unter C:\WINDOWS\Tasks
 

   [04.05.2009 22:34][--ah-----] C:\WINDOWS\tasks\SA.DAT

   [11.11.2004 15:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini
 

   --------------------\\  Ordner Verzeichnis unter C:\Programme
 

   [31.07.2008|15:54] C:\Programme\ACER Crystal Eye webcam

   [29.09.2008|11:27] C:\Programme\Adobe

   [12.12.2008|19:52] C:\Programme\AGEIA Technologies

   [31.07.2008|16:47] C:\Programme\Alwil Software

   [27.02.2009|09:10] C:\Programme\Audacity 1.3 Beta (Unicode)

   [31.07.2008|13:45] C:\Programme\Broadcom

   [03.05.2009|13:11] C:\Programme\CCleaner

   [30.07.2008|23:17] C:\Programme\ComPlus Applications

   [31.07.2008|13:58] C:\Programme\CONEXANT

   [01.08.2008|01:25] C:\Programme\DAEMON Tools Lite

   [05.08.2008|17:22] C:\Programme\Deluxe Ski Jump 3

   [04.08.2008|17:25] C:\Programme\ElastoManiaRegistered

   [03.05.2009|14:24] C:\Programme\Gemeinsame Dateien

   [10.11.2008|12:49] C:\Programme\GeoGebra

   [30.10.2008|22:08] C:\Programme\GIGA F-Tasten

   [04.05.2009|01:53] C:\Programme\Google

   [15.09.2008|19:07] C:\Programme\Hamachi

   [10.04.2009|15:27] C:\Programme\InstallShield Installation Information

   [31.07.2008|13:23] C:\Programme\Intel

   [30.03.2009|10:39] C:\Programme\Internet Explorer

   [07.04.2009|17:38] C:\Programme\Java

   [06.03.2009|01:13] C:\Programme\KONAMI

   [27.03.2009|17:11] C:\Programme\Left 4 Dead

   [17.03.2009|10:13] C:\Programme\Macromedia

   [04.03.2009|16:23] C:\Programme\MAGIX

   [03.05.2009|15:57] C:\Programme\Malwarebytes' Anti-Malware

   [26.09.2008|08:02] C:\Programme\Maxima-5.16.3

   [26.08.2008|00:17] C:\Programme\Messenger

   [06.02.2009|09:13] C:\Programme\Messenger Plus! Live

   [30.07.2008|23:20] C:\Programme\microsoft frontpage

   [04.12.2008|17:03] C:\Programme\Microsoft Games for Windows - LIVE

   [01.08.2008|01:35] C:\Programme\Microsoft Office

   [01.08.2008|01:35] C:\Programme\Microsoft Visual Studio

   [01.08.2008|01:35] C:\Programme\Microsoft Works

   [01.08.2008|01:34] C:\Programme\Microsoft.NET

   [22.08.2008|22:20] C:\Programme\Movie Maker

   [04.05.2009|22:57] C:\Programme\Mozilla Firefox

   [04.12.2008|16:35] C:\Programme\MSBuild

   [30.07.2008|23:16] C:\Programme\MSN

   [30.07.2008|23:17] C:\Programme\MSN Gaming Zone

   [04.12.2008|08:29] C:\Programme\MSXML 4.0

   [05.08.2008|02:08] C:\Programme\MSXML 6.0

   [22.08.2008|22:19] C:\Programme\NetMeeting

   [23.12.2008|00:46] C:\Programme\Novatel Wireless

   [30.07.2008|23:17] C:\Programme\Online Services

   [30.07.2008|23:18] C:\Programme\Online-Dienste

   [14.10.2008|17:53] C:\Programme\OpenAL

   [22.08.2008|22:19] C:\Programme\Outlook Express

   [04.05.2009|01:52] C:\Programme\Panda Security

   [06.10.2008|09:15] C:\Programme\PDFCreator

   [05.11.2008|19:43] C:\Programme\Power2Go

   [02.12.2008|10:55] C:\Programme\ProtectDisc Driver Installer

   [31.07.2008|13:28] C:\Programme\Realtek

   [04.12.2008|16:32] C:\Programme\Reference Assemblies

   [31.07.2008|15:54] C:\Programme\SUYIN

   [31.07.2008|13:23] C:\Programme\Synaptics

   [15.01.2009|10:51] C:\Programme\TeamViewer

   [17.02.2009|10:00] C:\Programme\TechSmith

   [31.07.2008|16:45] C:\Programme\Tracker Software

   [11.02.2009|17:18] C:\Programme\TrackMania Nations ESWC

   [28.04.2009|20:55] C:\Programme\Trend Micro

   [27.03.2009|21:00] C:\Programme\Ubisoft

   [04.04.2009|18:18] C:\Programme\Ubisoft Entertainment

   [30.07.2008|23:25] C:\Programme\Uninstall Information

   [31.07.2008|15:59] C:\Programme\VideoLAN

   [31.07.2008|13:15] C:\Programme\WIDCOMM

   [06.11.2008|20:36] C:\Programme\Winamp

   [13.10.2008|11:56] C:\Programme\Windows Live

   [04.12.2008|17:04] C:\Programme\Windows Media Player

   [22.08.2008|22:19] C:\Programme\Windows NT

   [30.07.2008|23:18] C:\Programme\WindowsUpdate

   [31.07.2008|15:58] C:\Programme\WinRAR

   [30.07.2008|23:20] C:\Programme\xerox

   [13.03.2009|11:21] C:\Programme\XMind

   [10.11.2008|12:48] C:\Programme\Zero G Registry

   [0|Datei(en)] C:\Programme\Bytes

   [77|Verzeichnis(se),] C:\Programme\Bytes frei
 

   --------------------\\  Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien
 

   [01.08.2008|15:09] C:\Programme\Gemeinsame Dateien\Adobe

   [01.08.2008|01:35] C:\Programme\Gemeinsame Dateien\DESIGNER

   [30.07.2008|23:18] C:\Programme\Gemeinsame Dateien\Dienste

   [08.08.2008|21:50] C:\Programme\Gemeinsame Dateien\DirectX

   [05.03.2009|18:49] C:\Programme\Gemeinsame Dateien\InstallShield

   [17.03.2009|10:14] C:\Programme\Gemeinsame Dateien\Macromedia

   [01.08.2008|15:04] C:\Programme\Gemeinsame Dateien\Macrovision Shared

   [02.12.2008|10:53] C:\Programme\Gemeinsame Dateien\MAGIX Shared

   [14.10.2008|01:17] C:\Programme\Gemeinsame Dateien\Microsoft Shared

   [30.07.2008|23:18] C:\Programme\Gemeinsame Dateien\MSSoap

   [30.07.2008|23:43] C:\Programme\Gemeinsame Dateien\ODBC

   [31.07.2008|15:57] C:\Programme\Gemeinsame Dateien\snp2uvc

   [30.07.2008|23:43] C:\Programme\Gemeinsame Dateien\SpeechEngines

   [22.08.2008|22:19] C:\Programme\Gemeinsame Dateien\System

   [17.02.2009|10:00] C:\Programme\Gemeinsame Dateien\TechSmith Shared

   [20.10.2008|12:32] C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller

   [12.12.2008|19:52] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

   [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes

   [19|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei
 

   --------------------\\  Process
 

   ( 46 Processes )
 

   ... OK !
 

   --------------------\\  Ueberpruefung mit S_Lop
 

   Kein Lop Ordner gefunden !

 

   --------------------\\  Suche nach Lop Dateien - Ordnern
 

   C:\DOKUME~1\MOAMER~1\LOKALE~1\Temp\stadistic.log

 

   --------------------\\  Suche innerhalb der Registry

 

   ..... OK !
 

   --------------------\\  Ueberpruefung der Hosts Datei
 

   Hosts Datei SAUBER
 
 

   --------------------\\  Suche nach verborgenen Dateien mit Catchme

 

   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

   Rootkit scan 2009-05-04 23:10:15

   Windows 5.1.2600 Service Pack 3 NTFS

   scanning hidden processes ...

   scanning hidden files ...

   scan completed successfully

   hidden processes: 0

   hidden files: 0

 

   --------------------\\  Suche nach anderen Infektionen
 

   --------------------\\  Cracks & Keygens ..
 

   C:\DOKUME~1\MOAMER~1\Eigene Dateien\CS Condition Zero\CS.Condition.Zero.LanVersion\Keygen Czero wichtig!!!!.txt

   C:\DOKUME~1\MOAMER~1\Eigene Dateien\CS Condition Zero\CS.Condition.Zero.LanVersion\Condition Zero\Keygen Czero wichtig!!!!.txt

   C:\DOKUME~1\MOAMER~1\Eigene Dateien\Eigene Musik\Strana\Massiv\Blut gegen Blut\23 - Mein Crack (feat VS Mafia).mp3

   C:\DOKUME~1\MOAMER~1\Eigene Dateien\Eigene Musik\Strana\The Game\The Black Wall Street Journal Volume 1\100 bars of crack.mp3
 
 

   [F:93][D:9]-> C:\DOKUME~1\MOAMER~1\LOKALE~1\Temp

   [F:19][D:0]-> C:\DOKUME~1\MOAMER~1\Cookies

   [F:1107][D:5]-> C:\DOKUME~1\MOAMER~1\LOKALE~1\TEMPOR~1\content.IE5
 

   1 - "C:\Lop SD\LopR_1.txt" - 04.05.2009|23:11 - Option : [1]
 

   --------------------\\  Scan beendet um 23:11:55

mfg

Erstelle ein Filelisting.

Lade die Datei File-Upload.net - listing0.bat auf deinen Desktop
Doppelklicke auf listing0.bat
Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de) hochladen und hier den Link posten.

ciao, andreas

Hier der Link:

http://www.materialordner.de/HykRwe5kgeWjibB0M86KLmdA2YukyH.html

mfg

Jetzt möchte ich es aber genau wissen. Woher hast du das hier:

Zitat:

C:\DOKUME~1\MOAMER~1\Eigene Dateien\CS Condition Zero\CS.Condition.Zero.LanVersion\Keygen Czero wichtig!!!!.txt

Dazu musst du wissen, das CureIt den SDBot gefunden hat, der wird allerdings nur noch mithilfe Keygens verbreitet. Wo hast du die Datei her?

ciao, andreas

Ich habe den ganzen Condition Zero Ordner von einem Freund bekommen.

Und diese Textdatei war halt auch dabei. Wenn ich sie öffne, steht folgendes drin:

Code:

cs zero 
 

Keygen:
 

5zn2e-6erhh-sqmv8-d9lz8-thl8k

Es ist also kein keygen sondern nur eine Textdatei.

Hatte mit dieser Datei bis jetzt noch nie irgendwelche probleme!

mfg

Klicke mal auf den Link "Virenscanner" in meiner Signatur. Dort findest du:

Zitat:

Software aus dubiosen Quellen wie Freunde, Edonkey, Warez-Seiten sollte man nicht einmal mit der Kneifzange anfassen.

1.) LopSD nochmal laufenlassen, diesmal mit Option 2. Log posten.

2.) Start => Ausführen => combofix /u => OK

3.) Laden, laufenlassen, Log posten: http://www.trojaner-board.de/51871-a...tispyware.html

4.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

ciao, andreas

1.)

Code:



   --------------------\\  Lop S&D 4.2.5-0   XP/Vista
 

   Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3

   X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     T7300  @ 2.00GHz )

   BIOS : ZD1 v1.3708 3G08

   USER : Moamer Hamzic ( Administrator )

   BOOT : Normal boot

   Antivirus : avast! antivirus 4.8.1335 [VPS 090505-0] 4.8.1335 (Activated)

   C:\ (Local Disk) - NTFS - Total:111 Go (Free:51 Go)

   D:\ (Local Disk) - NTFS - Total:108 Go (Free:54 Go)

   E:\ (CD or DVD)

   F:\ (CD or DVD)

   G:\ (CD or DVD)

   H:\ (CD or DVD)

   I:\ (CD or DVD)

   J:\ (USB) - FAT32 - Total:3848 Mo (Free:3 Go)
 

   "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )

   Option : [2] ( 05.05.2009|23:28 )
 
 

   \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ FIX
 

   Geloescht  ! - C:\DOKUME~1\MOAMER~1\LOKALE~1\Temp\stadistic.log

 

   \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ 
 

 

   --------------------\\  Ordner Verzeichnis unter ANWEND~1
 

   [12.12.2008|19:52] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft

   [0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes

   [3|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei
 

   [31.07.2008|13:24] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Intel

   [05.08.2008|02:07] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Microsoft

   [0|Datei(en)] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Bytes

   [4|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Bytes frei
 

   [27.08.2008|22:56] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe

   [01.08.2008|15:18] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FLEXnet

   [05.03.2009|18:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield

   [31.07.2008|13:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Intel

   [18.10.2008|18:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\KONAMI

   [17.03.2009|10:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Macromedia

   [04.05.2009|01:55] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MAGIX

   [03.05.2009|15:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes

   [30.04.2009|09:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!

   [04.12.2008|17:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft

   [28.04.2009|22:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help

   [23.12.2008|19:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Novatel Wireless

   [31.07.2008|15:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles

   [17.02.2009|10:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TechSmith

   [03.03.2009|01:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP

   [06.03.2009|12:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TrackMania

   [20.10.2008|12:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller

   [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes

   [19|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei
 

   [31.07.2008|13:24] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Intel

   [05.08.2008|02:07] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft

   [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes

   [4|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei
 

   [31.07.2008|13:24] C:\DOKUME~1\LOCALS~1\ANWEND~1\Intel

   [30.07.2008|23:19] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft

   [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes

   [4|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei
 

   [29.09.2008|11:26] C:\DOKUME~1\MOAMER~1\ANWEND~1\Adobe

   [25.03.2009|20:14] C:\DOKUME~1\MOAMER~1\ANWEND~1\Audacity

   [20.03.2009|11:17] C:\DOKUME~1\MOAMER~1\ANWEND~1\Axon2009

   [13.04.2009|15:18] C:\DOKUME~1\MOAMER~1\ANWEND~1\CoSoSys

   [01.08.2008|01:22] C:\DOKUME~1\MOAMER~1\ANWEND~1\DAEMON Tools

   [07.10.2008|15:41] C:\DOKUME~1\MOAMER~1\ANWEND~1\FileZilla

   [27.02.2009|11:39] C:\DOKUME~1\MOAMER~1\ANWEND~1\Google

   [26.10.2008|20:31] C:\DOKUME~1\MOAMER~1\ANWEND~1\Hamachi

   [30.07.2008|23:25] C:\DOKUME~1\MOAMER~1\ANWEND~1\Identities

   [05.03.2009|18:59] C:\DOKUME~1\MOAMER~1\ANWEND~1\InstallShield

   [31.07.2008|13:24] C:\DOKUME~1\MOAMER~1\ANWEND~1\Intel

   [14.10.2008|14:55] C:\DOKUME~1\MOAMER~1\ANWEND~1\KompoZer

   [03.10.2008|08:46] C:\DOKUME~1\MOAMER~1\ANWEND~1\Leadertech

   [17.03.2009|10:15] C:\DOKUME~1\MOAMER~1\ANWEND~1\Macromedia

   [02.12.2008|10:54] C:\DOKUME~1\MOAMER~1\ANWEND~1\MAGIX

   [03.05.2009|15:57] C:\DOKUME~1\MOAMER~1\ANWEND~1\Malwarebytes

   [25.03.2009|12:52] C:\DOKUME~1\MOAMER~1\ANWEND~1\Microsoft

   [24.02.2009|00:19] C:\DOKUME~1\MOAMER~1\ANWEND~1\Microsoft Games

   [01.08.2008|01:10] C:\DOKUME~1\MOAMER~1\ANWEND~1\Mozilla

   [20.02.2009|19:17] C:\DOKUME~1\MOAMER~1\ANWEND~1\Red Alert 3

   [04.12.2008|17:06] C:\DOKUME~1\MOAMER~1\ANWEND~1\SecuROM

   [10.10.2008|10:25] C:\DOKUME~1\MOAMER~1\ANWEND~1\Sun

   [15.01.2009|10:48] C:\DOKUME~1\MOAMER~1\ANWEND~1\TeamViewer

   [08.01.2009|11:13] C:\DOKUME~1\MOAMER~1\ANWEND~1\Teeworlds

   [01.08.2008|01:43] C:\DOKUME~1\MOAMER~1\ANWEND~1\vlc

   [06.11.2008|20:54] C:\DOKUME~1\MOAMER~1\ANWEND~1\Winamp

   [31.07.2008|16:41] C:\DOKUME~1\MOAMER~1\ANWEND~1\WinRAR

   [0|Datei(en)] C:\DOKUME~1\MOAMER~1\ANWEND~1\Bytes

   [29|Verzeichnis(se),] C:\DOKUME~1\MOAMER~1\ANWEND~1\Bytes frei
 

   [31.07.2008|13:24] C:\DOKUME~1\NETWOR~1\ANWEND~1\Intel

   [05.08.2008|02:06] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft

   [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes

   [4|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

 

   --------------------\\  Geplante Aufgaben unter C:\WINDOWS\Tasks
 

   [05.05.2009 23:09][--ah-----] C:\WINDOWS\tasks\SA.DAT

   [11.11.2004 15:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini
 

   --------------------\\  Ordner Verzeichnis unter C:\Programme
 

   [31.07.2008|15:54] C:\Programme\ACER Crystal Eye webcam

   [29.09.2008|11:27] C:\Programme\Adobe

   [12.12.2008|19:52] C:\Programme\AGEIA Technologies

   [31.07.2008|16:47] C:\Programme\Alwil Software

   [27.02.2009|09:10] C:\Programme\Audacity 1.3 Beta (Unicode)

   [31.07.2008|13:45] C:\Programme\Broadcom

   [03.05.2009|13:11] C:\Programme\CCleaner

   [30.07.2008|23:17] C:\Programme\ComPlus Applications

   [31.07.2008|13:58] C:\Programme\CONEXANT

   [01.08.2008|01:25] C:\Programme\DAEMON Tools Lite

   [05.08.2008|17:22] C:\Programme\Deluxe Ski Jump 3

   [04.08.2008|17:25] C:\Programme\ElastoManiaRegistered

   [03.05.2009|14:24] C:\Programme\Gemeinsame Dateien

   [10.11.2008|12:49] C:\Programme\GeoGebra

   [30.10.2008|22:08] C:\Programme\GIGA F-Tasten

   [04.05.2009|01:53] C:\Programme\Google

   [15.09.2008|19:07] C:\Programme\Hamachi

   [10.04.2009|15:27] C:\Programme\InstallShield Installation Information

   [31.07.2008|13:23] C:\Programme\Intel

   [30.03.2009|10:39] C:\Programme\Internet Explorer

   [07.04.2009|17:38] C:\Programme\Java

   [06.03.2009|01:13] C:\Programme\KONAMI

   [27.03.2009|17:11] C:\Programme\Left 4 Dead

   [17.03.2009|10:13] C:\Programme\Macromedia

   [04.03.2009|16:23] C:\Programme\MAGIX

   [03.05.2009|15:57] C:\Programme\Malwarebytes' Anti-Malware

   [26.09.2008|08:02] C:\Programme\Maxima-5.16.3

   [26.08.2008|00:17] C:\Programme\Messenger

   [06.02.2009|09:13] C:\Programme\Messenger Plus! Live

   [30.07.2008|23:20] C:\Programme\microsoft frontpage

   [04.12.2008|17:03] C:\Programme\Microsoft Games for Windows - LIVE

   [01.08.2008|01:35] C:\Programme\Microsoft Office

   [01.08.2008|01:35] C:\Programme\Microsoft Visual Studio

   [01.08.2008|01:35] C:\Programme\Microsoft Works

   [01.08.2008|01:34] C:\Programme\Microsoft.NET

   [22.08.2008|22:20] C:\Programme\Movie Maker

   [05.05.2009|23:27] C:\Programme\Mozilla Firefox

   [04.12.2008|16:35] C:\Programme\MSBuild

   [30.07.2008|23:16] C:\Programme\MSN

   [30.07.2008|23:17] C:\Programme\MSN Gaming Zone

   [04.12.2008|08:29] C:\Programme\MSXML 4.0

   [05.08.2008|02:08] C:\Programme\MSXML 6.0

   [22.08.2008|22:19] C:\Programme\NetMeeting

   [23.12.2008|00:46] C:\Programme\Novatel Wireless

   [30.07.2008|23:17] C:\Programme\Online Services

   [30.07.2008|23:18] C:\Programme\Online-Dienste

   [14.10.2008|17:53] C:\Programme\OpenAL

   [22.08.2008|22:19] C:\Programme\Outlook Express

   [04.05.2009|01:52] C:\Programme\Panda Security

   [06.10.2008|09:15] C:\Programme\PDFCreator

   [05.11.2008|19:43] C:\Programme\Power2Go

   [02.12.2008|10:55] C:\Programme\ProtectDisc Driver Installer

   [31.07.2008|13:28] C:\Programme\Realtek

   [04.12.2008|16:32] C:\Programme\Reference Assemblies

   [31.07.2008|15:54] C:\Programme\SUYIN

   [31.07.2008|13:23] C:\Programme\Synaptics

   [15.01.2009|10:51] C:\Programme\TeamViewer

   [17.02.2009|10:00] C:\Programme\TechSmith

   [31.07.2008|16:45] C:\Programme\Tracker Software

   [11.02.2009|17:18] C:\Programme\TrackMania Nations ESWC

   [28.04.2009|20:55] C:\Programme\Trend Micro

   [27.03.2009|21:00] C:\Programme\Ubisoft

   [04.04.2009|18:18] C:\Programme\Ubisoft Entertainment

   [30.07.2008|23:25] C:\Programme\Uninstall Information

   [31.07.2008|15:59] C:\Programme\VideoLAN

   [31.07.2008|13:15] C:\Programme\WIDCOMM

   [06.11.2008|20:36] C:\Programme\Winamp

   [13.10.2008|11:56] C:\Programme\Windows Live

   [04.12.2008|17:04] C:\Programme\Windows Media Player

   [22.08.2008|22:19] C:\Programme\Windows NT

   [30.07.2008|23:18] C:\Programme\WindowsUpdate

   [31.07.2008|15:58] C:\Programme\WinRAR

   [30.07.2008|23:20] C:\Programme\xerox

   [13.03.2009|11:21] C:\Programme\XMind

   [10.11.2008|12:48] C:\Programme\Zero G Registry

   [0|Datei(en)] C:\Programme\Bytes

   [77|Verzeichnis(se),] C:\Programme\Bytes frei
 

   --------------------\\  Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien
 

   [01.08.2008|15:09] C:\Programme\Gemeinsame Dateien\Adobe

   [01.08.2008|01:35] C:\Programme\Gemeinsame Dateien\DESIGNER

   [30.07.2008|23:18] C:\Programme\Gemeinsame Dateien\Dienste

   [08.08.2008|21:50] C:\Programme\Gemeinsame Dateien\DirectX

   [05.03.2009|18:49] C:\Programme\Gemeinsame Dateien\InstallShield

   [17.03.2009|10:14] C:\Programme\Gemeinsame Dateien\Macromedia

   [01.08.2008|15:04] C:\Programme\Gemeinsame Dateien\Macrovision Shared

   [02.12.2008|10:53] C:\Programme\Gemeinsame Dateien\MAGIX Shared

   [14.10.2008|01:17] C:\Programme\Gemeinsame Dateien\Microsoft Shared

   [30.07.2008|23:18] C:\Programme\Gemeinsame Dateien\MSSoap

   [30.07.2008|23:43] C:\Programme\Gemeinsame Dateien\ODBC

   [31.07.2008|15:57] C:\Programme\Gemeinsame Dateien\snp2uvc

   [30.07.2008|23:43] C:\Programme\Gemeinsame Dateien\SpeechEngines

   [22.08.2008|22:19] C:\Programme\Gemeinsame Dateien\System

   [17.02.2009|10:00] C:\Programme\Gemeinsame Dateien\TechSmith Shared

   [20.10.2008|12:32] C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller

   [12.12.2008|19:52] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

   [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes

   [19|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei
 

   --------------------\\  Process
 

   ( 47 Processes )
 

   ... OK !
 

   --------------------\\  Ueberpruefung mit S_Lop
 

   Kein Lop Ordner gefunden !

 

   --------------------\\  Suche nach Lop Dateien - Ordnern
 

   Kein Lop Ordner gefunden ! 

 

   --------------------\\  Suche innerhalb der Registry

 

   ..... OK !
 

   --------------------\\  Ueberpruefung der Hosts Datei
 

   Hosts Datei SAUBER
 
 

   --------------------\\  Suche nach verborgenen Dateien mit Catchme

 

   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

   Rootkit scan 2009-05-05 23:29:03

   Windows 5.1.2600 Service Pack 3 NTFS

   scanning hidden processes ...

   scanning hidden files ...

   scan completed successfully

   hidden processes: 0

   hidden files: 0

 

   --------------------\\  Suche nach anderen Infektionen
 

   --------------------\\  Cracks & Keygens ..
 

   C:\DOKUME~1\MOAMER~1\Eigene Dateien\CS Condition Zero\CS.Condition.Zero.LanVersion\Keygen Czero wichtig!!!!.txt

   C:\DOKUME~1\MOAMER~1\Eigene Dateien\CS Condition Zero\CS.Condition.Zero.LanVersion\Condition Zero\Keygen Czero wichtig!!!!.txt

   C:\DOKUME~1\MOAMER~1\Eigene Dateien\Eigene Musik\Strana\Massiv\Blut gegen Blut\23 - Mein Crack (feat VS Mafia).mp3

   C:\DOKUME~1\MOAMER~1\Eigene Dateien\Eigene Musik\Strana\The Game\The Black Wall Street Journal Volume 1\100 bars of crack.mp3

   C:\DOKUME~1\MOAMER~1\Recent\Keygen Czero wichtig!!!!.txt.lnk
 
 

   [F:93][D:9]-> C:\DOKUME~1\MOAMER~1\LOKALE~1\Temp

   [F:19][D:0]-> C:\DOKUME~1\MOAMER~1\Cookies

   [F:1107][D:5]-> C:\DOKUME~1\MOAMER~1\LOKALE~1\TEMPOR~1\content.IE5
 

   1 - "C:\Lop SD\LopR_1.txt" - 04.05.2009|23:11 - Option : [1]

   2 - "C:\Lop SD\LopR_2.txt" - 05.05.2009|23:30 - Option : [2]
 

   --------------------\\  Scan beendet um 23:30:50

2.) erledigt

3.)

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 05/06/2009 at 00:56 AM
 

Application Version : 4.26.1002
 

Core Rules Database Version : 3878

Trace Rules Database Version: 1826
 

Scan type       : Complete Scan

Total Scan Time : 01:07:20
 

Memory items scanned      : 516

Memory threats detected   : 0

Registry items scanned    : 5894

Registry threats detected : 0

File items scanned        : 118478

File threats detected     : 2
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Moamer Hamzic\Cookies\moamer_hamzic@doubleclick[1].txt

        C:\Dokumente und Einstellungen\Moamer Hamzic\Cookies\moamer_hamzic@atdmt[2].txt

mfg

1.) Was hast du denn da auf dem Desktop?

Zitat:

C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop\data002

2.) Deinstalliere:

SuperAntiSpyware.
PrevxCSI
CureIt

3.) Überprüfe den Rechner mit dem AVP-Tool

4.) Lade dir nochmal ein neues ComboFix.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::
 

File::

C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop\data002

c:\windows\system32\btncopyd.dll

j:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas