Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   BV:AutoRun-G[Wrm] in J:\autorun.inf (https://www.trojaner-board.de/72699-bv-autorun-g-wrm-j-autorun-inf.html)

sweetchuck 02.05.2009 14:19
BV:AutoRun-G[Wrm] in J:\autorun.inf
 
Schönen guten Tag!

Bin neu hier, ist mein erster Post!



Gleich zu meinem Problem:


Habe seit ein paar Tagen einen Wurm auf meinem Laptop. Das ganze fing damit an, dass ich meinen nagelneuen USB-Stick von einem Freund zurückbekam. Ich schloss ihn an und Avast fand einen Virus auf dem Stick. Also klickte ich ganz normal auf löschen, doch 5 sekunden später fand er den gleichen Virus noch einmal. Der Virus musste sich also jedes mal neue erstellen.

Ich schaltete bei den Ordneroptionen ein, dass ich alle Versteckten Dateien und Ordner sehen kann, und fand auf meinem Stick den Ordner "Recycler" und eine Datei mit Namen "autorun.inf"

Im Ordner "Recycler" befindet sich eine Datei mit dem Papierkorb-Icon, sie heißt "S-1-5-21-1482476501-1644491937-682003330-1013".

Ich öffnete die "autorun.inf" Datei und in ihr steht:
"[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
shell\open\default=1"


Ich löschte beide Dateien, doch sie waren innerhalb von 5 Sekunden wieder da..

Avast bezeichnet den Wurm wie folgt:

Datei-Name: J:\autorun.inf
Malware-Name: BV:AutoRun-G [Wrm]
Malware-Typ: Virus/Wurm
VPS Version: 090501-0



Bis jetzt habe ich folgendes versucht:

Avast beim Boot-Vorgang Wurm finden lassen und löschen --> funkt nicht
Zahlreiche Programme runtergeladen um Wurm zu löschen --> funkt nicht



Bitte um Hilfe!


Falls ihr irgendwelche Logs oder ähnliches braucht, ich etwas mit irgendeinem Programm machen soll oder ähnliches, bitte sofort sagen. Ich versuche so gut wie möglich eure Tipps und Ratschläge durchzuführen!



mfg sweetchuck

john.doe 02.05.2009 19:08
Hallo und :hallo:

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

    Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

sweetchuck 03.05.2009 12:57
Danke für die Antwort!


Beim durchführen der Schritte ist mir ein Fehler unterlaufen. Ich habe alle Schritte ausgeführt, ohne dass ich meinen USB-Stick angeschlossen habe.

Also habe ich alle Schritte nochmal mit USB-Stick gemacht.



Hier das Log MIT USB Stick:

ComboFix 09-05-02.4 - XXX 03.05.2009 13:45.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1449 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090502-0] *On-access scanning disabled* (Updated)

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-04-03 bis 2009-05-03 ))))))))))))))))))))))))))))))
.

2009-05-03 11:11 . 2009-05-03 11:11 -------- d-----w c:\programme\CCleaner
2009-04-28 19:46 . 2009-04-28 19:45 102664 ----a-w c:\windows\system32\drivers\tmcomm.sys
2009-04-28 19:45 . 2009-04-28 20:43 -------- d-----w c:\dokumente und einstellungen\XXX\.housecall6.6
2009-04-28 18:55 . 2009-04-28 18:55 -------- d-----w c:\programme\Trend Micro
2009-04-27 07:48 . 2009-04-27 07:48 -------- d-----w c:\programme\Infogrames
2009-04-24 22:39 . 2009-03-10 20:18 455048 ----a-w c:\windows\system32\KB905474\wgasetup.exe
2009-04-24 22:39 . 2009-04-24 22:39 -------- d-----w c:\windows\system32\KB905474
2009-04-24 22:39 . 2009-03-10 20:26 1436544 ----a-w c:\windows\system32\KB905474\wganotifypackageinner.exe
2009-04-16 08:44 . 2009-04-16 08:44 -------- d-sh--w c:\dokumente und einstellungen\Moamer Hamzic\IECompatCache
2009-04-15 16:55 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 16:55 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-15 16:55 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-15 16:55 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 16:55 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 16:55 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 16:55 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 16:55 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 16:55 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-15 15:43 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe
2009-04-13 13:18 . 2009-04-13 13:18 -------- d-----w c:\dokumente und einstellungen\XXX\Anwendungsdaten\CoSoSys
2009-04-04 16:35 . 2009-04-04 16:35 -------- d-----w c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\PC
2009-04-04 16:35 . 2009-04-04 16:58 -------- d-----w c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Wheelman
2009-04-04 16:18 . 2009-04-04 16:18 -------- d-----w c:\programme\Ubisoft Entertainment

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-03 11:45 . 2008-07-30 21:23 6 ---ha-w c:\windows\Tasks\SA.DAT
2009-05-03 10:57 . 2009-04-24 22:39 260 ----a-w c:\windows\Tasks\WGASetup.job
2009-05-03 10:57 . 2009-02-27 09:31 888 ----a-w c:\windows\Tasks\GoogleUpdateTaskMachine.job
2009-05-03 10:56 . 2009-02-27 09:31 1044 ----a-w c:\windows\Tasks\Google Software Updater.job
2009-04-28 21:58 . 2009-02-27 09:31 -------- d-----w c:\programme\Google
2009-04-27 15:37 . 2004-11-11 13:00 84182 ----a-w c:\windows\system32\perfc007.dat
2009-04-27 15:37 . 2004-11-11 13:00 457206 ----a-w c:\windows\system32\perfh007.dat
2009-04-10 13:27 . 2008-07-31 11:12 -------- d--h--w c:\programme\InstallShield Installation Information
2009-04-07 15:38 . 2009-03-19 11:17 -------- d-----w c:\programme\Java
2009-03-30 08:27 . 2008-12-15 18:52 83424 ----a-w c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-03-27 19:00 . 2009-03-27 19:00 -------- d-----w c:\programme\Ubisoft
2009-03-27 15:11 . 2009-03-27 14:20 -------- d-----w c:\programme\Left 4 Dead
2009-03-17 08:14 . 2009-03-17 08:13 -------- d-----w c:\programme\Gemeinsame Dateien\Macromedia
2009-03-17 08:13 . 2009-03-17 08:13 -------- d-----w c:\programme\Macromedia
2009-03-13 09:21 . 2009-03-13 08:53 -------- d-----w c:\programme\XMind
2009-03-12 16:25 . 2008-07-31 11:28 5051904 ----a-w c:\windows\system32\drivers\RtkHDAud.sys
2009-03-12 16:21 . 2008-07-31 11:28 17531392 ----a-w c:\windows\RTHDCPL.EXE
2009-03-12 14:34 . 2009-03-25 18:05 39424 ----a-w c:\windows\system32\RtkCoInstXP.dll
2009-03-10 13:32 . 2008-07-31 11:28 2168320 ----a-w c:\windows\MicCal.exe
2009-03-09 20:26 . 2009-03-04 16:36 977 ----a-w c:\windows\eReg.dat
2009-03-09 03:19 . 2008-10-10 08:28 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-08 02:34 . 2004-11-11 13:00 914944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2004-11-11 13:00 43008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2004-11-11 13:00 18944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2004-11-11 13:00 420352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2004-11-11 13:00 72704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2004-11-11 13:00 71680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2004-11-11 13:00 34816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2004-11-11 13:00 48128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2004-11-11 13:00 45568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2004-11-11 13:00 156160 ----a-w c:\windows\system32\msls31.dll
2009-03-06 14:19 . 2004-11-11 13:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-05 23:13 . 2008-08-06 22:06 -------- d-----w c:\programme\KONAMI
2009-03-05 16:49 . 2008-07-31 11:12 -------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-03-04 14:23 . 2008-12-02 08:45 -------- d-----w c:\programme\MAGIX
2009-03-02 10:14 . 2008-07-31 11:28 57344 ----a-w c:\windows\ALCMTR.EXE
2009-03-01 13:50 . 2009-03-01 13:50 664 ----a-w c:\windows\system32\d3d9caps.dat
2009-02-09 14:04 . 2004-11-11 13:00 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2004-08-04 00:50 2026496 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2004-11-11 13:00 2147840 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2004-11-11 13:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:51 . 2004-11-11 13:00 736768 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2004-11-11 13:00 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2004-11-11 13:00 678400 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2004-11-11 13:00 740352 ----a-w c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2004-11-11 13:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-03 19:57 . 2004-11-11 13:00 56832 ----a-w c:\windows\system32\secur32.dll
2008-10-06 07:15 . 2008-10-06 07:15 14852 ----a-w c:\programme\settings.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"SynTPStart"="c:\programme\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 995328]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 1101824]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-11 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-11 81920]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"PLFSet"="c:\windows\PLFSet.dll" [2007-04-25 45056]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-04-04 421888]
"Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"TrayServer"="c:\programme\MAGIX\Video_deluxe_2008_PLUS\TrayServer.exe" [2007-03-29 90112]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-11-11 1626112]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2009-03-12 17531392]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\XXX\Startmen\Programme\Autostart\
Mousometer.lnk - c:\dokumente und einstellungen\Moamer Hamzic\Desktop\mousometer.exe [2008-10-10 140288]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2008-8-1 45056]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-1-17 618557]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Hamachi\\hamachi.exe"=
"d:\\Setup\\Gamez\\CS Condition Zero\\CS.Condition.Zero.LanVersion\\Condition Zero\\czero.exe"=
"d:\\Setup\\Gamez\\CS Condition Zero\\CS.Condition.Zero.LanVersion\\Condition Zero\\hltv.exe"=
"d:\\Setup\\Gamez\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\Maxima-5.16.3\\wxMaxima\\wxMaxima.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Moamer Hamzic\\Eigene Dateien\\Schule\\E\\TeamViewer\\TeamViewer.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Ubisoft\\Tom Clancy's H.A.W.X\\HAWX.exe"=
"c:\\Programme\\Infogrames\\Grand Prix 4\\GP4.exe"=

R2 gupdate1c998be32303c80;Google Update Service (gupdate1c998be32303c80);c:\programme\Google\Update\GoogleUpdate.exe [2009-02-27 133104]
R3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2008-08-05 1684736]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S1 aswSP;avast! Self Protection; [x]
S2 acedrv10;acedrv10;c:\windows\system32\drivers\acedrv10.sys [2007-07-27 330144]
S2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20560]
S2 BPowMon;Broadcom Power monitoring service;c:\programme\Broadcom\BACS\BPowMon.exe [2006-08-31 65536]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0312f96c-f915-11dd-a80d-0013e8d6422b}]
\Shell\AutoRun\command - iq.bat
\Shell\open\Command - iq.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1ff0adf2-a818-11dd-a6f8-0013e8d6422b}]
\Shell\AutoRun\command - J:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9dbf327b-a4d1-11dd-a6ee-0013e8d6422b}]
\Shell\AutoRun\command - WDSetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ec1c3639-d079-11dd-a786-0013e8d6422b}]
\Shell\AutoRun\command - J:\LiteAuto.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-05-03 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-27 14:22]

2009-05-03 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-27 09:31]

2009-05-03 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-24 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
uInternet Settings,ProxyServer = proxy.salzburg.at:82
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\ob855iar.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.at/
FF - prefs.js: network.proxy.ftp - proxy.salzburg.at
FF - prefs.js: network.proxy.ftp_port - 82
FF - prefs.js: network.proxy.gopher - proxy.salzburg.at
FF - prefs.js: network.proxy.gopher_port - 82
FF - prefs.js: network.proxy.http - proxy.salzburg.at
FF - prefs.js: network.proxy.http_port - 82
FF - prefs.js: network.proxy.socks - proxy.salzburg.at
FF - prefs.js: network.proxy.socks_port - 82
FF - prefs.js: network.proxy.ssl - proxy.salzburg.at
FF - prefs.js: network.proxy.ssl_port - 82
FF - prefs.js: network.proxy.type - 4
FF - component: c:\programme\Google\Google Gears\Firefox\components\gears.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.141.5\npGoogleOneClick7.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-03 13:46
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2000478354-1123561945-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:68,de,a1,13,3c,62,e2,77,52,b7,42,f3,2e,9e,91,44,63,8e,73,e3,0d,
07,85,05,98,4a,86,7d,14,d0,69,a4,9a,80,dc,d4,51,cd,8c,bb,82,21,0c,6c,84,3e,\
"rkeysecu"=hex:62,8e,1e,e2,29,cc,f0,0b,16,13,2e,53,74,95,18,8f
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(804)
c:\windows\system32\netprovcredman.dll

- - - - - - - > 'explorer.exe'(2856)
c:\acer\Empowering Technology\ePower\SysHook.dll
c:\windows\system32\msi.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-05-03 13:47
ComboFix-quarantined-files.txt 2009-05-03 11:47
ComboFix2.txt 2009-05-03 11:40

Vor Suchlauf: 13 Verzeichnis(se), 54.473.293.824 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 54.467.129.344 Bytes frei

227 --- E O F --- 2009-04-28 20:44

sweetchuck 03.05.2009 13:03

Hier das Log OHNE USB-Stick:


ComboFix 09-05-02.4 - XXX 03.05.2009 13:37.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1464 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090502-0] *On-access scanning disabled* (Updated)

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe

----- BITS: Eventuell infizierte Webseiten -----

hxxp://sunmicro.ht.rd.llnw.net
.
((((((((((((((((((((((( Dateien erstellt von 2009-04-03 bis 2009-05-03 ))))))))))))))))))))))))))))))
.

2009-05-03 11:11 . 2009-05-03 11:11 -------- d-----w c:\programme\CCleaner
2009-04-28 19:46 . 2009-04-28 19:45 102664 ----a-w c:\windows\system32\drivers\tmcomm.sys
2009-04-28 19:45 . 2009-04-28 20:43 -------- d-----w c:\dokumente und einstellungen\XXX\.housecall6.6
2009-04-28 18:55 . 2009-04-28 18:55 -------- d-----w c:\programme\Trend Micro
2009-04-27 07:48 . 2009-04-27 07:48 -------- d-----w c:\programme\Infogrames
2009-04-24 22:39 . 2009-03-10 20:18 455048 ----a-w c:\windows\system32\KB905474\wgasetup.exe
2009-04-24 22:39 . 2009-04-24 22:39 -------- d-----w c:\windows\system32\KB905474
2009-04-24 22:39 . 2009-03-10 20:26 1436544 ----a-w c:\windows\system32\KB905474\wganotifypackageinner.exe
2009-04-16 08:44 . 2009-04-16 08:44 -------- d-sh--w c:\dokumente und einstellungen\XXX\IECompatCache
2009-04-15 16:55 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 16:55 . 2009-03-06 14:19 286720 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-15 16:55 . 2009-02-09 11:21 111104 -c----w c:\windows\system32\dllcache\services.exe
2009-04-15 16:55 . 2009-02-09 10:51 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
2009-04-15 16:55 . 2009-02-09 10:51 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-15 16:55 . 2009-02-09 10:51 678400 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-15 16:55 . 2009-02-09 10:51 736768 -c----w c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 16:55 . 2009-02-09 10:51 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 16:55 . 2009-02-09 10:51 740352 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-15 15:43 . 2008-04-21 21:13 217600 -c----w c:\windows\system32\dllcache\wordpad.exe
2009-04-13 13:18 . 2009-04-13 13:18 -------- d-----w c:\dokumente und einstellungen\XXXAnwendungsdaten\CoSoSys
2009-04-04 16:35 . 2009-04-04 16:35 -------- d-----w c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\PC
2009-04-04 16:35 . 2009-04-04 16:58 -------- d-----w c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Wheelman
2009-04-04 16:18 . 2009-04-04 16:18 -------- d-----w c:\programme\Ubisoft Entertainment

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-03 11:37 . 2008-07-30 21:23 6 ---ha-w c:\windows\Tasks\SA.DAT
2009-05-03 10:57 . 2009-04-24 22:39 260 ----a-w c:\windows\Tasks\WGASetup.job
2009-05-03 10:57 . 2009-02-27 09:31 888 ----a-w c:\windows\Tasks\GoogleUpdateTaskMachine.job
2009-05-03 10:56 . 2009-02-27 09:31 1044 ----a-w c:\windows\Tasks\Google Software Updater.job
2009-04-28 21:58 . 2009-02-27 09:31 -------- d-----w c:\programme\Google
2009-04-27 15:37 . 2004-11-11 13:00 84182 ----a-w c:\windows\system32\perfc007.dat
2009-04-27 15:37 . 2004-11-11 13:00 457206 ----a-w c:\windows\system32\perfh007.dat
2009-04-10 13:27 . 2008-07-31 11:12 -------- d--h--w c:\programme\InstallShield Installation Information
2009-04-07 15:38 . 2009-03-19 11:17 -------- d-----w c:\programme\Java
2009-03-30 08:27 . 2008-12-15 18:52 83424 ----a-w c:\windows\system32\GDIPFONTCACHEV1.DAT
2009-03-27 19:00 . 2009-03-27 19:00 -------- d-----w c:\programme\Ubisoft
2009-03-27 15:11 . 2009-03-27 14:20 -------- d-----w c:\programme\Left 4 Dead
2009-03-17 08:14 . 2009-03-17 08:13 -------- d-----w c:\programme\Gemeinsame Dateien\Macromedia
2009-03-17 08:13 . 2009-03-17 08:13 -------- d-----w c:\programme\Macromedia
2009-03-13 09:21 . 2009-03-13 08:53 -------- d-----w c:\programme\XMind
2009-03-12 16:25 . 2008-07-31 11:28 5051904 ----a-w c:\windows\system32\drivers\RtkHDAud.sys
2009-03-12 16:21 . 2008-07-31 11:28 17531392 ----a-w c:\windows\RTHDCPL.EXE
2009-03-12 14:34 . 2009-03-25 18:05 39424 ----a-w c:\windows\system32\RtkCoInstXP.dll
2009-03-10 13:32 . 2008-07-31 11:28 2168320 ----a-w c:\windows\MicCal.exe
2009-03-09 20:26 . 2009-03-04 16:36 977 ----a-w c:\windows\eReg.dat
2009-03-09 03:19 . 2008-10-10 08:28 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-08 02:34 . 2004-11-11 13:00 914944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2004-11-11 13:00 43008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2004-11-11 13:00 18944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2004-11-11 13:00 420352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2004-11-11 13:00 72704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2004-11-11 13:00 71680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2004-11-11 13:00 34816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2004-11-11 13:00 48128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2004-11-11 13:00 45568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2004-11-11 13:00 156160 ----a-w c:\windows\system32\msls31.dll
2009-03-06 14:19 . 2004-11-11 13:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-05 23:13 . 2008-08-06 22:06 -------- d-----w c:\programme\KONAMI
2009-03-05 16:49 . 2008-07-31 11:12 -------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-03-04 14:23 . 2008-12-02 08:45 -------- d-----w c:\programme\MAGIX
2009-03-02 10:14 . 2008-07-31 11:28 57344 ----a-w c:\windows\ALCMTR.EXE
2009-03-01 13:50 . 2009-03-01 13:50 664 ----a-w c:\windows\system32\d3d9caps.dat
2009-02-09 14:04 . 2004-11-11 13:00 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2004-08-04 00:50 2026496 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2004-11-11 13:00 2147840 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2004-11-11 13:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:51 . 2004-11-11 13:00 736768 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2004-11-11 13:00 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2004-11-11 13:00 678400 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2004-11-11 13:00 740352 ----a-w c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2004-11-11 13:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-03 19:57 . 2004-11-11 13:00 56832 ----a-w c:\windows\system32\secur32.dll
2008-10-06 07:15 . 2008-10-06 07:15 14852 ----a-w c:\programme\settings.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"SynTPStart"="c:\programme\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 995328]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 1101824]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-11 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-11 81920]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"PLFSet"="c:\windows\PLFSet.dll" [2007-04-25 45056]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-04-04 421888]
"Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"TrayServer"="c:\programme\MAGIX\Video_deluxe_2008_PLUS\TrayServer.exe" [2007-03-29 90112]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-11-11 1626112]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2009-03-12 17531392]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\XXX\Startmen\Programme\Autostart\
Mousometer.lnk - c:\dokumente und einstellungen\XXX\Desktop\mousometer.exe [2008-10-10 140288]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2008-8-1 45056]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-1-17 618557]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Hamachi\\hamachi.exe"=
"d:\\Setup\\Gamez\\CS Condition Zero\\CS.Condition.Zero.LanVersion\\Condition Zero\\czero.exe"=
"d:\\Setup\\Gamez\\CS Condition Zero\\CS.Condition.Zero.LanVersion\\Condition Zero\\hltv.exe"=
"d:\\Setup\\Gamez\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\Maxima-5.16.3\\wxMaxima\\wxMaxima.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\XXX\\Eigene Dateien\\Schule\\E\\TeamViewer\\TeamViewer.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Ubisoft\\Tom Clancy's H.A.W.X\\HAWX.exe"=
"c:\\Programme\\Infogrames\\Grand Prix 4\\GP4.exe"=

R2 gupdate1c998be32303c80;Google Update Service (gupdate1c998be32303c80);c:\programme\Google\Update\GoogleUpdate.exe [2009-02-27 133104]
R3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2008-08-05 1684736]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S1 aswSP;avast! Self Protection; [x]
S2 acedrv10;acedrv10;c:\windows\system32\drivers\acedrv10.sys [2007-07-27 330144]
S2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20560]
S2 BPowMon;Broadcom Power monitoring service;c:\programme\Broadcom\BACS\BPowMon.exe [2006-08-31 65536]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0312f96c-f915-11dd-a80d-0013e8d6422b}]
\Shell\AutoRun\command - iq.bat
\Shell\open\Command - iq.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1ff0adf2-a818-11dd-a6f8-0013e8d6422b}]
\Shell\AutoRun\command - J:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9dbf327b-a4d1-11dd-a6ee-0013e8d6422b}]
\Shell\AutoRun\command - WDSetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ec1c3639-d079-11dd-a786-0013e8d6422b}]
\Shell\AutoRun\command - J:\LiteAuto.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-05-03 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-27 14:22]

2009-05-03 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-27 09:31]

2009-05-03 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-24 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
uInternet Settings,ProxyServer = proxy.salzburg.at:82
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\ob855iar.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.at/
FF - prefs.js: network.proxy.ftp - proxy.salzburg.at
FF - prefs.js: network.proxy.ftp_port - 82
FF - prefs.js: network.proxy.gopher - proxy.salzburg.at
FF - prefs.js: network.proxy.gopher_port - 82
FF - prefs.js: network.proxy.http - proxy.salzburg.at
FF - prefs.js: network.proxy.http_port - 82
FF - prefs.js: network.proxy.socks - proxy.salzburg.at
FF - prefs.js: network.proxy.socks_port - 82
FF - prefs.js: network.proxy.ssl - proxy.salzburg.at
FF - prefs.js: network.proxy.ssl_port - 82
FF - prefs.js: network.proxy.type - 4
FF - component: c:\programme\Google\Google Gears\Firefox\components\gears.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.141.5\npGoogleOneClick7.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-03 13:39
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2000478354-1123561945-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:68,de,a1,13,3c,62,e2,77,52,b7,42,f3,2e,9e,91,44,63,8e,73,e3,0d,
07,85,05,98,4a,86,7d,14,d0,69,a4,9a,80,dc,d4,51,cd,8c,bb,82,21,0c,6c,84,3e,\
"rkeysecu"=hex:62,8e,1e,e2,29,cc,f0,0b,16,13,2e,53,74,95,18,8f
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(804)
c:\windows\system32\netprovcredman.dll
.
Zeit der Fertigstellung: 2009-05-03 13:40
ComboFix-quarantined-files.txt 2009-05-03 11:40

Vor Suchlauf: 13 Verzeichnis(se), 53.422.694.400 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 54.469.865.472 Bytes frei

228 --- E O F --- 2009-04-28 20:44






mfg

john.doe 03.05.2009 13:15
1.) Wurde der Rechner erst kürzlich installiert?

2.) Warum hast du den MS Messenger zweimal installiert?

3.) Deinstalliere (falls möglich):
  • Google Updater
  • Google Update Helper
  • Bonjour
4.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

Driver::
gupdate1c998be32303c80

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
"MsnMsgr"=-
"DAEMON Tools Lite"=-
"MSMSGS"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
"nwiz"=-
"RTHDCPL"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0312f96c-f915-11dd-a80d-0013e8d6422b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1ff0adf2-a818-11dd-a6f8-0013e8d6422b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9dbf327b-a4d1-11dd-a6ee-0013e8d6422b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ec1c3639-d079-11dd-a786-0013e8d6422b}]

Folder::
c:\programme\Google\Update
c:\programme\Google\Common\Google Updater
c:\Programme\Bonjour

File::
c:\windows\Tasks\WGASetup.job
c:\windows\Tasks\GoogleUpdateTaskMachine.job
c:\windows\Tasks\Google Software Updater.job
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\system32\GDIPFONTCACHEV1.DAT
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

sweetchuck 03.05.2009 13:50
1.) Nein, letztes Jahr im Sommer war das letzte Mal als ich ihn neu aufgesetzt habe.

2.) Hmm. Keine Ahnung, soweit ich bis jetzt wusste hatte ich nur einen, da ich nur einen benutze, kann aber sein als ich XP installiert habe dass es den uralten Messenger mitinstalliert hat.

3.) Was möglich ist erledigt.


4.)


Code:
ComboFix 09-05-02.4 - XXX 03.05.2009 14:24.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1442 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\XXX\Desktop\cfscript.txt
AV: avast! antivirus 4.8.1335 [VPS 090502-0] *On-access scanning disabled* (Updated)

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
c:\windows\system32\GDIPFONTCACHEV1.DAT
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\Tasks\Google Software Updater.job
c:\windows\Tasks\GoogleUpdateTaskMachine.job
c:\windows\Tasks\WGASetup.job
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Bonjour
c:\programme\Bonjour\mdnsNSP.dll
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Google\Common\Google Updater
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\programme\Google\Update
c:\programme\Google\Update\1.2.141.5\GoogleUpdate.exe
c:\programme\Google\Update\1.2.141.5\GoogleUpdateHelper.msi
c:\programme\Google\Update\1.2.141.5\goopdate.dll
c:\programme\Google\Update\1.2.141.5\GoopdateBho.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_ar.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_bg.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_bn.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_ca.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_cs.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_da.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_de.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_el.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_en-GB.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_en.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_es-419.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_es.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_et.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_fa.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_fi.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_fil.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_fr.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_gu.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_hi.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_hr.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_hu.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_id.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_is.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_it.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_iw.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_ja.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_kn.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_ko.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_lt.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_lv.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_ml.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_mr.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_ms.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_nl.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_no.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_or.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_pl.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_pt-BR.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_pt-PT.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_ro.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_ru.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_sk.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_sl.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_sr.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_sv.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_ta.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_te.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_th.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_tr.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_uk.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_ur.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_vi.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_zh-CN.dll
c:\programme\Google\Update\1.2.141.5\goopdateres_zh-TW.dll
c:\programme\Google\Update\1.2.141.5\npGoogleOneClick7.dll
c:\programme\Google\Update\GoogleUpdate.exe
c:\programme\Google\Update\Offline\{74AF07D8-FB8F-4D51-8AC7-927721D56EBB}.gup
c:\windows\system32\GDIPFONTCACHEV1.DAT
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
c:\windows\Tasks\Google Software Updater.job
c:\windows\Tasks\GoogleUpdateTaskMachine.job
c:\windows\Tasks\WGASetup.job

.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GUPDATE1C998BE32303C80
-------\Service_gupdate1c998be32303c80


(((((((((((((((((((((((  Dateien erstellt von 2009-04-03 bis 2009-05-03  ))))))))))))))))))))))))))))))
.

2009-05-03 11:11 . 2009-05-03 11:11        --------        d-----w        c:\programme\CCleaner
2009-04-28 19:46 . 2009-04-28 19:45        102664        ----a-w        c:\windows\system32\drivers\tmcomm.sys
2009-04-28 19:45 . 2009-04-28 20:43        --------        d-----w        c:\dokumente und einstellungen\XXX\.housecall6.6
2009-04-28 18:55 . 2009-04-28 18:55        --------        d-----w        c:\programme\Trend Micro
2009-04-27 07:48 . 2009-04-27 07:48        --------        d-----w        c:\programme\Infogrames
2009-04-24 22:39 . 2009-03-10 20:18        455048        ----a-w        c:\windows\system32\KB905474\wgasetup.exe
2009-04-24 22:39 . 2009-04-24 22:39        --------        d-----w        c:\windows\system32\KB905474
2009-04-24 22:39 . 2009-03-10 20:26        1436544        ----a-w        c:\windows\system32\KB905474\wganotifypackageinner.exe
2009-04-16 08:44 . 2009-04-16 08:44        --------        d-sh--w        c:\dokumente und einstellungen\XXX\IECompatCache
2009-04-15 16:55 . 2009-02-06 10:10        227840        -c----w        c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 16:55 . 2009-03-06 14:19        286720        -c----w        c:\windows\system32\dllcache\pdh.dll
2009-04-15 16:55 . 2009-02-09 11:21        111104        -c----w        c:\windows\system32\dllcache\services.exe
2009-04-15 16:55 . 2009-02-09 10:51        401408        -c----w        c:\windows\system32\dllcache\rpcss.dll
2009-04-15 16:55 . 2009-02-09 10:51        473600        -c----w        c:\windows\system32\dllcache\fastprox.dll
2009-04-15 16:55 . 2009-02-09 10:51        678400        -c----w        c:\windows\system32\dllcache\advapi32.dll
2009-04-15 16:55 . 2009-02-09 10:51        736768        -c----w        c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 16:55 . 2009-02-09 10:51        453120        -c----w        c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 16:55 . 2009-02-09 10:51        740352        -c----w        c:\windows\system32\dllcache\ntdll.dll
2009-04-15 15:43 . 2008-04-21 21:13        217600        -c----w        c:\windows\system32\dllcache\wordpad.exe
2009-04-13 13:18 . 2009-04-13 13:18        --------        d-----w        c:\dokumente und einstellungen\XXX\Anwendungsdaten\CoSoSys
2009-04-04 16:35 . 2009-04-04 16:35        --------        d-----w        c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\PC
2009-04-04 16:35 . 2009-04-04 16:58        --------        d-----w        c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Wheelman
2009-04-04 16:18 . 2009-04-04 16:18        --------        d-----w        c:\programme\Ubisoft Entertainment

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-03 12:27 . 2008-07-31 12:42        83424        ----a-w        c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-03 12:26 . 2008-07-30 21:23        6        ---ha-w        c:\windows\Tasks\SA.DAT
2009-05-03 12:24 . 2009-02-27 09:31        --------        d-----w        c:\programme\Google
2009-04-10 13:27 . 2008-07-31 11:12        --------        d--h--w        c:\programme\InstallShield Installation Information
2009-04-07 15:38 . 2009-03-19 11:17        --------        d-----w        c:\programme\Java
2009-03-27 19:00 . 2009-03-27 19:00        --------        d-----w        c:\programme\Ubisoft
2009-03-27 15:11 . 2009-03-27 14:20        --------        d-----w        c:\programme\Left 4 Dead
2009-03-17 08:14 . 2009-03-17 08:13        --------        d-----w        c:\programme\Gemeinsame Dateien\Macromedia
2009-03-17 08:13 . 2009-03-17 08:13        --------        d-----w        c:\programme\Macromedia
2009-03-13 09:21 . 2009-03-13 08:53        --------        d-----w        c:\programme\XMind
2009-03-12 16:25 . 2008-07-31 11:28        5051904        ----a-w        c:\windows\system32\drivers\RtkHDAud.sys
2009-03-12 16:21 . 2008-07-31 11:28        17531392        ----a-w        c:\windows\RTHDCPL.EXE
2009-03-12 14:34 . 2009-03-25 18:05        39424        ----a-w        c:\windows\system32\RtkCoInstXP.dll
2009-03-10 13:32 . 2008-07-31 11:28        2168320        ----a-w        c:\windows\MicCal.exe
2009-03-09 20:26 . 2009-03-04 16:36        977        ----a-w        c:\windows\eReg.dat
2009-03-09 03:19 . 2008-10-10 08:28        410984        ----a-w        c:\windows\system32\deploytk.dll
2009-03-08 02:34 . 2004-11-11 13:00        914944        ----a-w        c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2004-11-11 13:00        43008        ----a-w        c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2004-11-11 13:00        18944        ----a-w        c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2004-11-11 13:00        420352        ----a-w        c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2004-11-11 13:00        72704        ----a-w        c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2004-11-11 13:00        71680        ----a-w        c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2004-11-11 13:00        34816        ----a-w        c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2004-11-11 13:00        48128        ----a-w        c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2004-11-11 13:00        45568        ----a-w        c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2004-11-11 13:00        156160        ----a-w        c:\windows\system32\msls31.dll
2009-03-06 14:19 . 2004-11-11 13:00        286720        ----a-w        c:\windows\system32\pdh.dll
2009-03-05 23:13 . 2008-08-06 22:06        --------        d-----w        c:\programme\KONAMI
2009-03-05 16:49 . 2008-07-31 11:12        --------        d-----w        c:\programme\Gemeinsame Dateien\InstallShield
2009-03-04 14:23 . 2008-12-02 08:45        --------        d-----w        c:\programme\MAGIX
2009-03-02 10:14 . 2008-07-31 11:28        57344        ----a-w        c:\windows\ALCMTR.EXE
2009-03-01 13:50 . 2009-03-01 13:50        664        ----a-w        c:\windows\system32\d3d9caps.dat
2009-02-09 14:04 . 2004-11-11 13:00        1846912        ----a-w        c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2004-08-04 00:50        2026496        ----a-w        c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2004-11-11 13:00        2147840        ----a-w        c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2004-11-11 13:00        111104        ----a-w        c:\windows\system32\services.exe
2009-02-09 10:51 . 2004-11-11 13:00        736768        ----a-w        c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2004-11-11 13:00        401408        ----a-w        c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2004-11-11 13:00        678400        ----a-w        c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2004-11-11 13:00        740352        ----a-w        c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2004-11-11 13:00        35328        ----a-w        c:\windows\system32\sc.exe
2009-02-03 19:57 . 2004-11-11 13:00        56832        ----a-w        c:\windows\system32\secur32.dll
2008-10-06 07:15 . 2008-10-06 07:15        14852        ----a-w        c:\programme\settings.dat
.

(((((((((((((((((((((((((((((  SnapShot@2009-05-03_11.39.22  )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-03 12:27 . 2009-05-03 12:27        16384              c:\windows\Temp\Perflib_Perfdata_a04.dat
+ 2009-05-03 12:26 . 2009-05-03 12:26        16384              c:\windows\Temp\Perflib_Perfdata_77c.dat
+ 2009-05-03 12:26 . 2009-05-03 12:26        16384              c:\windows\Temp\Perflib_Perfdata_2c8.dat
+ 2008-07-30 21:42 . 2009-05-03 12:26        1592232              c:\windows\system32\FNTCACHE.DAT
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"SynTPStart"="c:\programme\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 995328]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 1101824]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-11 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-11 81920]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"PLFSet"="c:\windows\PLFSet.dll" [2007-04-25 45056]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-04-04 421888]
"Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"TrayServer"="c:\programme\MAGIX\Video_deluxe_2008_PLUS\TrayServer.exe" [2007-03-29 90112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\XXX\Startmen\Programme\Autostart\
Mousometer.lnk - c:\dokumente und einstellungen\XXX\Desktop\mousometer.exe [2008-10-10 140288]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2008-8-1 45056]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-1-17 618557]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Hamachi\\hamachi.exe"=
"d:\\Setup\\Gamez\\CS Condition Zero\\CS.Condition.Zero.LanVersion\\Condition Zero\\czero.exe"=
"d:\\Setup\\Gamez\\CS Condition Zero\\CS.Condition.Zero.LanVersion\\Condition Zero\\hltv.exe"=
"d:\\Setup\\Gamez\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\Maxima-5.16.3\\wxMaxima\\wxMaxima.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\XXX\\Eigene Dateien\\Schule\\E\\TeamViewer\\TeamViewer.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Ubisoft\\Tom Clancy's H.A.W.X\\HAWX.exe"=
"c:\\Programme\\Infogrames\\Grand Prix 4\\GP4.exe"=

R3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2008-08-05 1684736]
R3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S1 aswSP;avast! Self Protection; [x]
S2 acedrv10;acedrv10;c:\windows\system32\drivers\acedrv10.sys [2007-07-27 330144]
S2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [2007-07-27 251680]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20560]
S2 BPowMon;Broadcom Power monitoring service;c:\programme\Broadcom\BACS\BPowMon.exe [2006-08-31 65536]


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
uInternet Settings,ProxyServer = proxy.salzburg.at:82
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\ob855iar.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.at/
FF - prefs.js: network.proxy.ftp - proxy.salzburg.at
FF - prefs.js: network.proxy.ftp_port - 82
FF - prefs.js: network.proxy.gopher - proxy.salzburg.at
FF - prefs.js: network.proxy.gopher_port - 82
FF - prefs.js: network.proxy.http - proxy.salzburg.at
FF - prefs.js: network.proxy.http_port - 82
FF - prefs.js: network.proxy.socks - proxy.salzburg.at
FF - prefs.js: network.proxy.socks_port - 82
FF - prefs.js: network.proxy.ssl - proxy.salzburg.at
FF - prefs.js: network.proxy.ssl_port - 82
FF - prefs.js: network.proxy.type - 4
FF - component: c:\programme\Google\Google Gears\Firefox\components\gears.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-03 14:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2000478354-1123561945-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:68,de,a1,13,3c,62,e2,77,52,b7,42,f3,2e,9e,91,44,63,8e,73,e3,0d,
  07,85,05,98,4a,86,7d,14,d0,69,a4,9a,80,dc,d4,51,cd,8c,bb,82,21,0c,6c,84,3e,\
"rkeysecu"=hex:62,8e,1e,e2,29,cc,f0,0b,16,13,2e,53,74,95,18,8f
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1004)
c:\windows\system32\netprovcredman.dll

- - - - - - - > 'explorer.exe'(2468)
c:\windows\system32\ieframe.dll
c:\acer\Empowering Technology\ePower\SysHook.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\Alwil Software\Avast4\ashServ.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\rundll32.exe
c:\programme\Synaptics\SynTP\SynTPEnh.exe
c:\windows\system32\wbem\unsecapp.exe
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-03 14:30 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-05-03 12:30
ComboFix2.txt  2009-05-03 11:47
ComboFix3.txt  2009-05-03 11:40

Vor Suchlauf: 13 Verzeichnis(se), 54.470.754.304 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 54.391.734.272 Bytes frei

310        --- E O F ---        2009-04-28 20:44


mfg



PS: Hab nach dem Ausführen von ComboFix nach dem Ordner "Bonjour" gesucht und ihn in "C:\Qoobox\Quarantine\C\Programme" gefunden. Dort ist auch ein Google Ordner. Die Inhalte dieser Ordner haben alle die Endung: ".vir".

Nur so zur Information!

john.doe 03.05.2009 14:00
Zitat:
Die Inhalte dieser Ordner haben alle die Endung: ".vir".
Das ist auch richtig so, denn das sind voll die fiesen Viren. :)

1.) Lade die Datei
Code:
c:\windows\system32\netprovcredman.dll
gemäß dieser Anleitung bei uns hoch.

2.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-

File::
c:\windows\system32\netprovcredman.dll
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

3.) Klicke in meiner Signatur auf "Für alle Neuen", lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab.

ciao, andreas

sweetchuck 03.05.2009 14:09
Der Link zum UploadChannel funktioniert nicht!

Firefox zeigt immer nur eine Fehlermeldung!


mfg

john.doe 03.05.2009 14:22
Bei mir schon. Lösche deine temporären Internetdateien und versuche es nochmal. Sollte es wieder nicht funktionieren, dann lade es bei einem Filehoster hoch (z.B. www.materialordner.de) und schicke mir den Link als PN.

ciao, andreas

sweetchuck 03.05.2009 14:48
Hab dir eine PN geschickt!

mfg

john.doe 03.05.2009 14:52
Die Datei ist sauber. Überspringe Punkt 2 und mache weiter mit 3.

ciao, andreas

sweetchuck 03.05.2009 16:02
Malwarebytes-Log:

Code:
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2070
Windows 5.1.2600 Service Pack 3

03.05.2009 16:51:15
mbam-log-2009-05-03 (16-51-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 211165
Laufzeit: 47 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


HJT-Log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:57:53, on 03.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Broadcom\BACS\BPowMon.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.salzburg.at:82
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Programme\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.16.0\gears.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IAAnotif] "C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PLFSet] rundll32.exe C:\WINDOWS\PLFSet.dll,PLFDefSetting
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2008_PLUS\TrayServer.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Mousometer.lnk = Desktop\mousometer.exe
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.16.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.16.0\gears.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Broadcom Power monitoring service (BPowMon) - Broadcom Corp. - C:\Programme\Broadcom\BACS\BPowMon.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 8697 bytes

mfg

john.doe 03.05.2009 16:22
1.) Welchen Browser benutzt du?

2.) Entferne Bonjour mit http://www.korben.info/wp-content/up...7/aurevoir.rar

3.) Starte HJT => Do a system scan only => Markiere(falls noch vorhanden):
Code:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2008_PLUS\TrayServer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
=> Fix checked

4.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas

sweetchuck 03.05.2009 16:51
1.) Mozilla Firefox 3.0.10

2.) soweit ich das Französische verstanden habe ist alles erledigt!

3.) gefixt!

4.) Hab bemerkt das er nur mit dem Internet Explorer geht... und wenn ich den Scan ausführen will sagt er mir beim Installieren von den ActiveX Elementen das ich Administratorrechte benötige..
Ich bin aber der einzige der meinen Laptop benutzt und es gibt nur einen Benutzer bei den Benutzerkonten, somit müsste ich doch der Administrator sein oder???


mfg

john.doe 03.05.2009 17:03
Nur Ärger mit dem Kasper. :schmoll:

1.) CureIT Dr.Web
  • Lies zuerst die deutsche Anleitung und drucke sie dir aus.
  • Lass alle Malware in den Quarantaene Ordner verschieben.
  • Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
  • Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.
  • Speichere das Logfile - siehe Anleitung - und poste es.

2.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
3.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.

ciao, andreas

sweetchuck 03.05.2009 17:59
alles schön und gut..

aber auf der CureIt Dr.Web Anleitungsseite fehlen einige Bilder, wo ich Einstellungen ändern soll, um einen Komplett Scan durchzuführen und wie ich es abspeichern soll!




mfg

john.doe 03.05.2009 18:11
Ich muss gestehen, ich habe die Anleitung noch nie gelesen, es allerdings neulich noch benutzt. Das lässt sich doch fast intuitiv bedienen. Die Einstellungen spielen keine Rolle. Es geht nur um die Funde und das Protokoll. CureIt wird nach Gebrauch sowieso wieder deinstalliert.

ciao, andreas

sweetchuck 03.05.2009 18:15
alles Klar.. dann mach ich das mal..


mfg

john.doe 03.05.2009 20:21
:daumenhoc

sweetchuck 04.05.2009 08:03
Also, habe alles durchgeführt bis auf den scan mit prevXCSI.


Hier die Logs der einzelnen Scans:


Dr.Web:

Code:
spoolsv.exe;j:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013;BackDoor.IRC.Sdbot.3506;Gelöscht.;
ComboFix.exe/data002\32788R22FWJFW\FIND3M.bat;C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop\ComboFix.exe/data002;Wahrscheinlich BATCH.Virus;;
ComboFix.exe/data002\32788R22FWJFW\psexec.cfexe;C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop\ComboFix.exe/data002;Program.PsExec.171;;
data002;C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop;Archiv enthält infizierte Objekte;;
ComboFix.exe;C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop;Container enthält infizierte Objekte;;
spoolsv.exe.vir;C:\Qoobox\Quarantine\C\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013;BackDoor.IRC.Sdbot.3506;Gelöscht.;
A0000357.exe;C:\System Volume Information\_restore{05D3A049-F5BC-4C9A-8D8B-7A2B9812C714}\RP2;BackDoor.IRC.Sdbot.3506;Gelöscht.;
A0000387.bat;C:\System Volume Information\_restore{05D3A049-F5BC-4C9A-8D8B-7A2B9812C714}\RP2;Wahrscheinlich BATCH.Virus;;
A0000451.bat;C:\System Volume Information\_restore{05D3A049-F5BC-4C9A-8D8B-7A2B9812C714}\RP2;Wahrscheinlich BATCH.Virus;;
A0000566.EXE;C:\System Volume Information\_restore{05D3A049-F5BC-4C9A-8D8B-7A2B9812C714}\RP2;Program.PsExec.170;;
A0000594.bat;C:\System Volume Information\_restore{05D3A049-F5BC-4C9A-8D8B-7A2B9812C714}\RP2;Wahrscheinlich BATCH.Virus;;

ActiveScan-Log:

Code:
;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-05-03 23:03:50
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 2
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                      Active    Updated
;===================================================================================================================================================================================
avast! antivirus 4.8.1335 [VPS 090503-0]    4.8.1335                      Yes      Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
02885963  Rootkit/Booto.C                    Virus/Worm          No        0        Yes            No          C:\System Volume Information\_restore{05D3A049-F5BC-4C9A-8D8B-7A2B9812C714}\RP2\A0000554.sys
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              
;===================================================================================================================================================================================
No        C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop\ComboFix.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                    
No        C:\Dokumente und Einstellungen\Moamer Hamzic\DoctorWeb\Quarantine\ComboFix.exe                                                                                                                                                                                                                                                                                                                                                                                                                                        
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity  Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                
;===================================================================================================================================================================================
;===================================================================================================================================================================================


Hier noch eine Info:

Avast zeigt mir KEINE Warnmeldung mehr, auch wenn der Stick angesteckt ist! Auf dem Stick befindet sich nur mehr der Ordner "Recycler". Die autorun.inf ist nicht mehr da.


mfg

sweetchuck 04.05.2009 21:51
so, jetz habe ich mein system mit prevXCSI auch gescannt:

precXCSI Log in gekürtzter Fassung (zu viele Zeichen); Hier werden nur die gefundenen Risiken angezeigt:

Code:
Prevx Scan Log - Version v3.0.1.65
Log Generated: 4/5/2009 22:42, Type: 0,1
Windows XP Professional Service Pack 3 (Build 2600) 32bit|1031
Some non-malicious files are not included in this log.
Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Mon 2009-05-04 22:40:49 Westeuropäische Normalzeit. Number of Scans: 1. Last Scan Duration: 1 minute 47 seconds.
[BP] c:\windows\vfind.exe        [PX5: F8B1CE87006684ABCA8901BE6505AF008413DBFC]        Malware Group: High Risk Cloaked Malware
[B] (ACTIVE) c:\windows\system32\btncopyd.dll        [PX5: FD4F622000F6ECB54C55007819286B0055977D9A]        Malware Group: High Risk Worm


End of Prevx Scan Log - http://www.prevx.com


Wie soll ich nun weiter vorgehen??

mfg

john.doe 04.05.2009 22:01
Die Meldungen von CureIt gefallen mir gar nicht. :(

1.) Lade die Datei
Code:
c:\windows\system32\btncopyd.dll
bitte gemäß dieser Anleitung bei uns hoch.

2.) Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

(Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Entf um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein)

ciao, andreas

sweetchuck 04.05.2009 22:35
Hier das geforderte Log:


Code:

  --------------------\\  Lop S&D 4.2.5-0  XP/Vista

  Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
  X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU    T7300  @ 2.00GHz )
  BIOS : ZD1 v1.3708 3G08
  USER : XXX ( Administrator )
  BOOT : Normal boot
  Antivirus : avast! antivirus 4.8.1335 [VPS 090504-0] 4.8.1335 (Activated)
  C:\ (Local Disk) - NTFS - Total:111 Go (Free:51 Go)
  D:\ (Local Disk) - NTFS - Total:108 Go (Free:54 Go)
  E:\ (CD or DVD)
  F:\ (CD or DVD)
  G:\ (CD or DVD)
  H:\ (CD or DVD)
  I:\ (CD or DVD)
  J:\ (USB) - FAT32 - Total:3848 Mo (Free:3 Go)

  "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
  Option : [1] ( 04.05.2009|23:09 )
 
  --------------------\\  Ordner Verzeichnis unter ANWEND~1

  [12.12.2008|19:52] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft
  [0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes
  [3|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei

  [31.07.2008|13:24] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Intel
  [05.08.2008|02:07] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Microsoft
  [0|Datei(en)] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Bytes
  [4|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Bytes frei

  [27.08.2008|22:56] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
  [01.08.2008|15:18] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FLEXnet
  [05.03.2009|18:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield
  [31.07.2008|13:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Intel
  [18.10.2008|18:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\KONAMI
  [17.03.2009|10:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Macromedia
  [04.05.2009|01:55] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MAGIX
  [03.05.2009|15:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
  [30.04.2009|09:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!
  [04.12.2008|17:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
  [28.04.2009|22:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help
  [23.12.2008|19:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Novatel Wireless
  [31.07.2008|15:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles
  [17.02.2009|10:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TechSmith
  [03.03.2009|01:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
  [06.03.2009|12:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TrackMania
  [20.10.2008|12:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller
  [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
  [19|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

  [31.07.2008|13:24] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Intel
  [05.08.2008|02:07] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
  [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
  [4|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

  [31.07.2008|13:24] C:\DOKUME~1\LOCALS~1\ANWEND~1\Intel
  [30.07.2008|23:19] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
  [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
  [4|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

  [29.09.2008|11:26] C:\DOKUME~1\MOAMER~1\ANWEND~1\Adobe
  [25.03.2009|20:14] C:\DOKUME~1\MOAMER~1\ANWEND~1\Audacity
  [20.03.2009|11:17] C:\DOKUME~1\MOAMER~1\ANWEND~1\Axon2009
  [13.04.2009|15:18] C:\DOKUME~1\MOAMER~1\ANWEND~1\CoSoSys
  [01.08.2008|01:22] C:\DOKUME~1\MOAMER~1\ANWEND~1\DAEMON Tools
  [07.10.2008|15:41] C:\DOKUME~1\MOAMER~1\ANWEND~1\FileZilla
  [27.02.2009|11:39] C:\DOKUME~1\MOAMER~1\ANWEND~1\Google
  [26.10.2008|20:31] C:\DOKUME~1\MOAMER~1\ANWEND~1\Hamachi
  [30.07.2008|23:25] C:\DOKUME~1\MOAMER~1\ANWEND~1\Identities
  [05.03.2009|18:59] C:\DOKUME~1\MOAMER~1\ANWEND~1\InstallShield
  [31.07.2008|13:24] C:\DOKUME~1\MOAMER~1\ANWEND~1\Intel
  [14.10.2008|14:55] C:\DOKUME~1\MOAMER~1\ANWEND~1\KompoZer
  [03.10.2008|08:46] C:\DOKUME~1\MOAMER~1\ANWEND~1\Leadertech
  [17.03.2009|10:15] C:\DOKUME~1\MOAMER~1\ANWEND~1\Macromedia
  [02.12.2008|10:54] C:\DOKUME~1\MOAMER~1\ANWEND~1\MAGIX
  [03.05.2009|15:57] C:\DOKUME~1\MOAMER~1\ANWEND~1\Malwarebytes
  [25.03.2009|12:52] C:\DOKUME~1\MOAMER~1\ANWEND~1\Microsoft
  [24.02.2009|00:19] C:\DOKUME~1\MOAMER~1\ANWEND~1\Microsoft Games
  [01.08.2008|01:10] C:\DOKUME~1\MOAMER~1\ANWEND~1\Mozilla
  [20.02.2009|19:17] C:\DOKUME~1\MOAMER~1\ANWEND~1\Red Alert 3
  [04.12.2008|17:06] C:\DOKUME~1\MOAMER~1\ANWEND~1\SecuROM
  [10.10.2008|10:25] C:\DOKUME~1\MOAMER~1\ANWEND~1\Sun
  [15.01.2009|10:48] C:\DOKUME~1\MOAMER~1\ANWEND~1\TeamViewer
  [08.01.2009|11:13] C:\DOKUME~1\MOAMER~1\ANWEND~1\Teeworlds
  [01.08.2008|01:43] C:\DOKUME~1\MOAMER~1\ANWEND~1\vlc
  [06.11.2008|20:54] C:\DOKUME~1\MOAMER~1\ANWEND~1\Winamp
  [31.07.2008|16:41] C:\DOKUME~1\MOAMER~1\ANWEND~1\WinRAR
  [0|Datei(en)] C:\DOKUME~1\MOAMER~1\ANWEND~1\Bytes
  [29|Verzeichnis(se),] C:\DOKUME~1\MOAMER~1\ANWEND~1\Bytes frei

  [31.07.2008|13:24] C:\DOKUME~1\NETWOR~1\ANWEND~1\Intel
  [05.08.2008|02:06] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
  [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
  [4|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei
 
  --------------------\\  Geplante Aufgaben unter C:\WINDOWS\Tasks

  [04.05.2009 22:34][--ah-----] C:\WINDOWS\tasks\SA.DAT
  [11.11.2004 15:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

  --------------------\\  Ordner Verzeichnis unter C:\Programme

  [31.07.2008|15:54] C:\Programme\ACER Crystal Eye webcam
  [29.09.2008|11:27] C:\Programme\Adobe
  [12.12.2008|19:52] C:\Programme\AGEIA Technologies
  [31.07.2008|16:47] C:\Programme\Alwil Software
  [27.02.2009|09:10] C:\Programme\Audacity 1.3 Beta (Unicode)
  [31.07.2008|13:45] C:\Programme\Broadcom
  [03.05.2009|13:11] C:\Programme\CCleaner
  [30.07.2008|23:17] C:\Programme\ComPlus Applications
  [31.07.2008|13:58] C:\Programme\CONEXANT
  [01.08.2008|01:25] C:\Programme\DAEMON Tools Lite
  [05.08.2008|17:22] C:\Programme\Deluxe Ski Jump 3
  [04.08.2008|17:25] C:\Programme\ElastoManiaRegistered
  [03.05.2009|14:24] C:\Programme\Gemeinsame Dateien
  [10.11.2008|12:49] C:\Programme\GeoGebra
  [30.10.2008|22:08] C:\Programme\GIGA F-Tasten
  [04.05.2009|01:53] C:\Programme\Google
  [15.09.2008|19:07] C:\Programme\Hamachi
  [10.04.2009|15:27] C:\Programme\InstallShield Installation Information
  [31.07.2008|13:23] C:\Programme\Intel
  [30.03.2009|10:39] C:\Programme\Internet Explorer
  [07.04.2009|17:38] C:\Programme\Java
  [06.03.2009|01:13] C:\Programme\KONAMI
  [27.03.2009|17:11] C:\Programme\Left 4 Dead
  [17.03.2009|10:13] C:\Programme\Macromedia
  [04.03.2009|16:23] C:\Programme\MAGIX
  [03.05.2009|15:57] C:\Programme\Malwarebytes' Anti-Malware
  [26.09.2008|08:02] C:\Programme\Maxima-5.16.3
  [26.08.2008|00:17] C:\Programme\Messenger
  [06.02.2009|09:13] C:\Programme\Messenger Plus! Live
  [30.07.2008|23:20] C:\Programme\microsoft frontpage
  [04.12.2008|17:03] C:\Programme\Microsoft Games for Windows - LIVE
  [01.08.2008|01:35] C:\Programme\Microsoft Office
  [01.08.2008|01:35] C:\Programme\Microsoft Visual Studio
  [01.08.2008|01:35] C:\Programme\Microsoft Works
  [01.08.2008|01:34] C:\Programme\Microsoft.NET
  [22.08.2008|22:20] C:\Programme\Movie Maker
  [04.05.2009|22:57] C:\Programme\Mozilla Firefox
  [04.12.2008|16:35] C:\Programme\MSBuild
  [30.07.2008|23:16] C:\Programme\MSN
  [30.07.2008|23:17] C:\Programme\MSN Gaming Zone
  [04.12.2008|08:29] C:\Programme\MSXML 4.0
  [05.08.2008|02:08] C:\Programme\MSXML 6.0
  [22.08.2008|22:19] C:\Programme\NetMeeting
  [23.12.2008|00:46] C:\Programme\Novatel Wireless
  [30.07.2008|23:17] C:\Programme\Online Services
  [30.07.2008|23:18] C:\Programme\Online-Dienste
  [14.10.2008|17:53] C:\Programme\OpenAL
  [22.08.2008|22:19] C:\Programme\Outlook Express
  [04.05.2009|01:52] C:\Programme\Panda Security
  [06.10.2008|09:15] C:\Programme\PDFCreator
  [05.11.2008|19:43] C:\Programme\Power2Go
  [02.12.2008|10:55] C:\Programme\ProtectDisc Driver Installer
  [31.07.2008|13:28] C:\Programme\Realtek
  [04.12.2008|16:32] C:\Programme\Reference Assemblies
  [31.07.2008|15:54] C:\Programme\SUYIN
  [31.07.2008|13:23] C:\Programme\Synaptics
  [15.01.2009|10:51] C:\Programme\TeamViewer
  [17.02.2009|10:00] C:\Programme\TechSmith
  [31.07.2008|16:45] C:\Programme\Tracker Software
  [11.02.2009|17:18] C:\Programme\TrackMania Nations ESWC
  [28.04.2009|20:55] C:\Programme\Trend Micro
  [27.03.2009|21:00] C:\Programme\Ubisoft
  [04.04.2009|18:18] C:\Programme\Ubisoft Entertainment
  [30.07.2008|23:25] C:\Programme\Uninstall Information
  [31.07.2008|15:59] C:\Programme\VideoLAN
  [31.07.2008|13:15] C:\Programme\WIDCOMM
  [06.11.2008|20:36] C:\Programme\Winamp
  [13.10.2008|11:56] C:\Programme\Windows Live
  [04.12.2008|17:04] C:\Programme\Windows Media Player
  [22.08.2008|22:19] C:\Programme\Windows NT
  [30.07.2008|23:18] C:\Programme\WindowsUpdate
  [31.07.2008|15:58] C:\Programme\WinRAR
  [30.07.2008|23:20] C:\Programme\xerox
  [13.03.2009|11:21] C:\Programme\XMind
  [10.11.2008|12:48] C:\Programme\Zero G Registry
  [0|Datei(en)] C:\Programme\Bytes
  [77|Verzeichnis(se),] C:\Programme\Bytes frei

  --------------------\\  Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

  [01.08.2008|15:09] C:\Programme\Gemeinsame Dateien\Adobe
  [01.08.2008|01:35] C:\Programme\Gemeinsame Dateien\DESIGNER
  [30.07.2008|23:18] C:\Programme\Gemeinsame Dateien\Dienste
  [08.08.2008|21:50] C:\Programme\Gemeinsame Dateien\DirectX
  [05.03.2009|18:49] C:\Programme\Gemeinsame Dateien\InstallShield
  [17.03.2009|10:14] C:\Programme\Gemeinsame Dateien\Macromedia
  [01.08.2008|15:04] C:\Programme\Gemeinsame Dateien\Macrovision Shared
  [02.12.2008|10:53] C:\Programme\Gemeinsame Dateien\MAGIX Shared
  [14.10.2008|01:17] C:\Programme\Gemeinsame Dateien\Microsoft Shared
  [30.07.2008|23:18] C:\Programme\Gemeinsame Dateien\MSSoap
  [30.07.2008|23:43] C:\Programme\Gemeinsame Dateien\ODBC
  [31.07.2008|15:57] C:\Programme\Gemeinsame Dateien\snp2uvc
  [30.07.2008|23:43] C:\Programme\Gemeinsame Dateien\SpeechEngines
  [22.08.2008|22:19] C:\Programme\Gemeinsame Dateien\System
  [17.02.2009|10:00] C:\Programme\Gemeinsame Dateien\TechSmith Shared
  [20.10.2008|12:32] C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
  [12.12.2008|19:52] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
  [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
  [19|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

  --------------------\\  Process

  ( 46 Processes )

  ... OK !

  --------------------\\  Ueberpruefung mit S_Lop

  Kein Lop Ordner gefunden !
 
  --------------------\\  Suche nach Lop Dateien - Ordnern

  C:\DOKUME~1\MOAMER~1\LOKALE~1\Temp\stadistic.log
 
  --------------------\\  Suche innerhalb der Registry
 
  ..... OK !

  --------------------\\  Ueberpruefung der Hosts Datei

  Hosts Datei SAUBER


  --------------------\\  Suche nach verborgenen Dateien mit Catchme
 
  catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
  Rootkit scan 2009-05-04 23:10:15
  Windows 5.1.2600 Service Pack 3 NTFS
  scanning hidden processes ...
  scanning hidden files ...
  scan completed successfully
  hidden processes: 0
  hidden files: 0
 
  --------------------\\  Suche nach anderen Infektionen

  --------------------\\  Cracks & Keygens ..

  C:\DOKUME~1\MOAMER~1\Eigene Dateien\CS Condition Zero\CS.Condition.Zero.LanVersion\Keygen Czero wichtig!!!!.txt
  C:\DOKUME~1\MOAMER~1\Eigene Dateien\CS Condition Zero\CS.Condition.Zero.LanVersion\Condition Zero\Keygen Czero wichtig!!!!.txt
  C:\DOKUME~1\MOAMER~1\Eigene Dateien\Eigene Musik\Strana\Massiv\Blut gegen Blut\23 - Mein Crack (feat VS Mafia).mp3
  C:\DOKUME~1\MOAMER~1\Eigene Dateien\Eigene Musik\Strana\The Game\The Black Wall Street Journal Volume 1\100 bars of crack.mp3


  [F:93][D:9]-> C:\DOKUME~1\MOAMER~1\LOKALE~1\Temp
  [F:19][D:0]-> C:\DOKUME~1\MOAMER~1\Cookies
  [F:1107][D:5]-> C:\DOKUME~1\MOAMER~1\LOKALE~1\TEMPOR~1\content.IE5

  1 - "C:\Lop SD\LopR_1.txt" - 04.05.2009|23:11 - Option : [1]

  --------------------\\  Scan beendet um 23:11:55
mfg

john.doe 04.05.2009 23:02
Erstelle ein Filelisting.

ciao, andreas

sweetchuck 04.05.2009 23:11
Hier der Link:


http://www.materialordner.de/HykRwe5kgeWjibB0M86KLmdA2YukyH.html



mfg

john.doe 04.05.2009 23:18
Jetzt möchte ich es aber genau wissen. Woher hast du das hier:
Zitat:
C:\DOKUME~1\MOAMER~1\Eigene Dateien\CS Condition Zero\CS.Condition.Zero.LanVersion\Keygen Czero wichtig!!!!.txt
Dazu musst du wissen, das CureIt den SDBot gefunden hat, der wird allerdings nur noch mithilfe Keygens verbreitet. Wo hast du die Datei her?

ciao, andreas

sweetchuck 04.05.2009 23:30
Ich habe den ganzen Condition Zero Ordner von einem Freund bekommen.

Und diese Textdatei war halt auch dabei. Wenn ich sie öffne, steht folgendes drin:

Code:
cs zero

Keygen:

5zn2e-6erhh-sqmv8-d9lz8-thl8k
Es ist also kein keygen sondern nur eine Textdatei.

Hatte mit dieser Datei bis jetzt noch nie irgendwelche probleme!

mfg

john.doe 05.05.2009 16:21
Klicke mal auf den Link "Virenscanner" in meiner Signatur. Dort findest du:
Zitat:
Software aus dubiosen Quellen wie Freunde, Edonkey, Warez-Seiten sollte man nicht einmal mit der Kneifzange anfassen.
1.) LopSD nochmal laufenlassen, diesmal mit Option 2. Log posten.

2.) Start => Ausführen => combofix /u => OK

3.) Laden, laufenlassen, Log posten: http://www.trojaner-board.de/51871-a...tispyware.html

4.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

ciao, andreas

sweetchuck 06.05.2009 06:50
1.)

Code:

  --------------------\\  Lop S&D 4.2.5-0  XP/Vista

  Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
  X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU    T7300  @ 2.00GHz )
  BIOS : ZD1 v1.3708 3G08
  USER : Moamer Hamzic ( Administrator )
  BOOT : Normal boot
  Antivirus : avast! antivirus 4.8.1335 [VPS 090505-0] 4.8.1335 (Activated)
  C:\ (Local Disk) - NTFS - Total:111 Go (Free:51 Go)
  D:\ (Local Disk) - NTFS - Total:108 Go (Free:54 Go)
  E:\ (CD or DVD)
  F:\ (CD or DVD)
  G:\ (CD or DVD)
  H:\ (CD or DVD)
  I:\ (CD or DVD)
  J:\ (USB) - FAT32 - Total:3848 Mo (Free:3 Go)

  "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
  Option : [2] ( 05.05.2009|23:28 )


  \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ FIX

  Geloescht  ! - C:\DOKUME~1\MOAMER~1\LOKALE~1\Temp\stadistic.log
 
  \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

 
  --------------------\\  Ordner Verzeichnis unter ANWEND~1

  [12.12.2008|19:52] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft
  [0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes
  [3|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei

  [31.07.2008|13:24] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Intel
  [05.08.2008|02:07] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Microsoft
  [0|Datei(en)] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Bytes
  [4|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Bytes frei

  [27.08.2008|22:56] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
  [01.08.2008|15:18] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FLEXnet
  [05.03.2009|18:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield
  [31.07.2008|13:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Intel
  [18.10.2008|18:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\KONAMI
  [17.03.2009|10:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Macromedia
  [04.05.2009|01:55] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MAGIX
  [03.05.2009|15:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
  [30.04.2009|09:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!
  [04.12.2008|17:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
  [28.04.2009|22:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help
  [23.12.2008|19:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Novatel Wireless
  [31.07.2008|15:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles
  [17.02.2009|10:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TechSmith
  [03.03.2009|01:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
  [06.03.2009|12:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TrackMania
  [20.10.2008|12:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller
  [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
  [19|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

  [31.07.2008|13:24] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Intel
  [05.08.2008|02:07] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
  [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
  [4|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

  [31.07.2008|13:24] C:\DOKUME~1\LOCALS~1\ANWEND~1\Intel
  [30.07.2008|23:19] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
  [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
  [4|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

  [29.09.2008|11:26] C:\DOKUME~1\MOAMER~1\ANWEND~1\Adobe
  [25.03.2009|20:14] C:\DOKUME~1\MOAMER~1\ANWEND~1\Audacity
  [20.03.2009|11:17] C:\DOKUME~1\MOAMER~1\ANWEND~1\Axon2009
  [13.04.2009|15:18] C:\DOKUME~1\MOAMER~1\ANWEND~1\CoSoSys
  [01.08.2008|01:22] C:\DOKUME~1\MOAMER~1\ANWEND~1\DAEMON Tools
  [07.10.2008|15:41] C:\DOKUME~1\MOAMER~1\ANWEND~1\FileZilla
  [27.02.2009|11:39] C:\DOKUME~1\MOAMER~1\ANWEND~1\Google
  [26.10.2008|20:31] C:\DOKUME~1\MOAMER~1\ANWEND~1\Hamachi
  [30.07.2008|23:25] C:\DOKUME~1\MOAMER~1\ANWEND~1\Identities
  [05.03.2009|18:59] C:\DOKUME~1\MOAMER~1\ANWEND~1\InstallShield
  [31.07.2008|13:24] C:\DOKUME~1\MOAMER~1\ANWEND~1\Intel
  [14.10.2008|14:55] C:\DOKUME~1\MOAMER~1\ANWEND~1\KompoZer
  [03.10.2008|08:46] C:\DOKUME~1\MOAMER~1\ANWEND~1\Leadertech
  [17.03.2009|10:15] C:\DOKUME~1\MOAMER~1\ANWEND~1\Macromedia
  [02.12.2008|10:54] C:\DOKUME~1\MOAMER~1\ANWEND~1\MAGIX
  [03.05.2009|15:57] C:\DOKUME~1\MOAMER~1\ANWEND~1\Malwarebytes
  [25.03.2009|12:52] C:\DOKUME~1\MOAMER~1\ANWEND~1\Microsoft
  [24.02.2009|00:19] C:\DOKUME~1\MOAMER~1\ANWEND~1\Microsoft Games
  [01.08.2008|01:10] C:\DOKUME~1\MOAMER~1\ANWEND~1\Mozilla
  [20.02.2009|19:17] C:\DOKUME~1\MOAMER~1\ANWEND~1\Red Alert 3
  [04.12.2008|17:06] C:\DOKUME~1\MOAMER~1\ANWEND~1\SecuROM
  [10.10.2008|10:25] C:\DOKUME~1\MOAMER~1\ANWEND~1\Sun
  [15.01.2009|10:48] C:\DOKUME~1\MOAMER~1\ANWEND~1\TeamViewer
  [08.01.2009|11:13] C:\DOKUME~1\MOAMER~1\ANWEND~1\Teeworlds
  [01.08.2008|01:43] C:\DOKUME~1\MOAMER~1\ANWEND~1\vlc
  [06.11.2008|20:54] C:\DOKUME~1\MOAMER~1\ANWEND~1\Winamp
  [31.07.2008|16:41] C:\DOKUME~1\MOAMER~1\ANWEND~1\WinRAR
  [0|Datei(en)] C:\DOKUME~1\MOAMER~1\ANWEND~1\Bytes
  [29|Verzeichnis(se),] C:\DOKUME~1\MOAMER~1\ANWEND~1\Bytes frei

  [31.07.2008|13:24] C:\DOKUME~1\NETWOR~1\ANWEND~1\Intel
  [05.08.2008|02:06] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
  [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
  [4|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei
 
  --------------------\\  Geplante Aufgaben unter C:\WINDOWS\Tasks

  [05.05.2009 23:09][--ah-----] C:\WINDOWS\tasks\SA.DAT
  [11.11.2004 15:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

  --------------------\\  Ordner Verzeichnis unter C:\Programme

  [31.07.2008|15:54] C:\Programme\ACER Crystal Eye webcam
  [29.09.2008|11:27] C:\Programme\Adobe
  [12.12.2008|19:52] C:\Programme\AGEIA Technologies
  [31.07.2008|16:47] C:\Programme\Alwil Software
  [27.02.2009|09:10] C:\Programme\Audacity 1.3 Beta (Unicode)
  [31.07.2008|13:45] C:\Programme\Broadcom
  [03.05.2009|13:11] C:\Programme\CCleaner
  [30.07.2008|23:17] C:\Programme\ComPlus Applications
  [31.07.2008|13:58] C:\Programme\CONEXANT
  [01.08.2008|01:25] C:\Programme\DAEMON Tools Lite
  [05.08.2008|17:22] C:\Programme\Deluxe Ski Jump 3
  [04.08.2008|17:25] C:\Programme\ElastoManiaRegistered
  [03.05.2009|14:24] C:\Programme\Gemeinsame Dateien
  [10.11.2008|12:49] C:\Programme\GeoGebra
  [30.10.2008|22:08] C:\Programme\GIGA F-Tasten
  [04.05.2009|01:53] C:\Programme\Google
  [15.09.2008|19:07] C:\Programme\Hamachi
  [10.04.2009|15:27] C:\Programme\InstallShield Installation Information
  [31.07.2008|13:23] C:\Programme\Intel
  [30.03.2009|10:39] C:\Programme\Internet Explorer
  [07.04.2009|17:38] C:\Programme\Java
  [06.03.2009|01:13] C:\Programme\KONAMI
  [27.03.2009|17:11] C:\Programme\Left 4 Dead
  [17.03.2009|10:13] C:\Programme\Macromedia
  [04.03.2009|16:23] C:\Programme\MAGIX
  [03.05.2009|15:57] C:\Programme\Malwarebytes' Anti-Malware
  [26.09.2008|08:02] C:\Programme\Maxima-5.16.3
  [26.08.2008|00:17] C:\Programme\Messenger
  [06.02.2009|09:13] C:\Programme\Messenger Plus! Live
  [30.07.2008|23:20] C:\Programme\microsoft frontpage
  [04.12.2008|17:03] C:\Programme\Microsoft Games for Windows - LIVE
  [01.08.2008|01:35] C:\Programme\Microsoft Office
  [01.08.2008|01:35] C:\Programme\Microsoft Visual Studio
  [01.08.2008|01:35] C:\Programme\Microsoft Works
  [01.08.2008|01:34] C:\Programme\Microsoft.NET
  [22.08.2008|22:20] C:\Programme\Movie Maker
  [05.05.2009|23:27] C:\Programme\Mozilla Firefox
  [04.12.2008|16:35] C:\Programme\MSBuild
  [30.07.2008|23:16] C:\Programme\MSN
  [30.07.2008|23:17] C:\Programme\MSN Gaming Zone
  [04.12.2008|08:29] C:\Programme\MSXML 4.0
  [05.08.2008|02:08] C:\Programme\MSXML 6.0
  [22.08.2008|22:19] C:\Programme\NetMeeting
  [23.12.2008|00:46] C:\Programme\Novatel Wireless
  [30.07.2008|23:17] C:\Programme\Online Services
  [30.07.2008|23:18] C:\Programme\Online-Dienste
  [14.10.2008|17:53] C:\Programme\OpenAL
  [22.08.2008|22:19] C:\Programme\Outlook Express
  [04.05.2009|01:52] C:\Programme\Panda Security
  [06.10.2008|09:15] C:\Programme\PDFCreator
  [05.11.2008|19:43] C:\Programme\Power2Go
  [02.12.2008|10:55] C:\Programme\ProtectDisc Driver Installer
  [31.07.2008|13:28] C:\Programme\Realtek
  [04.12.2008|16:32] C:\Programme\Reference Assemblies
  [31.07.2008|15:54] C:\Programme\SUYIN
  [31.07.2008|13:23] C:\Programme\Synaptics
  [15.01.2009|10:51] C:\Programme\TeamViewer
  [17.02.2009|10:00] C:\Programme\TechSmith
  [31.07.2008|16:45] C:\Programme\Tracker Software
  [11.02.2009|17:18] C:\Programme\TrackMania Nations ESWC
  [28.04.2009|20:55] C:\Programme\Trend Micro
  [27.03.2009|21:00] C:\Programme\Ubisoft
  [04.04.2009|18:18] C:\Programme\Ubisoft Entertainment
  [30.07.2008|23:25] C:\Programme\Uninstall Information
  [31.07.2008|15:59] C:\Programme\VideoLAN
  [31.07.2008|13:15] C:\Programme\WIDCOMM
  [06.11.2008|20:36] C:\Programme\Winamp
  [13.10.2008|11:56] C:\Programme\Windows Live
  [04.12.2008|17:04] C:\Programme\Windows Media Player
  [22.08.2008|22:19] C:\Programme\Windows NT
  [30.07.2008|23:18] C:\Programme\WindowsUpdate
  [31.07.2008|15:58] C:\Programme\WinRAR
  [30.07.2008|23:20] C:\Programme\xerox
  [13.03.2009|11:21] C:\Programme\XMind
  [10.11.2008|12:48] C:\Programme\Zero G Registry
  [0|Datei(en)] C:\Programme\Bytes
  [77|Verzeichnis(se),] C:\Programme\Bytes frei

  --------------------\\  Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

  [01.08.2008|15:09] C:\Programme\Gemeinsame Dateien\Adobe
  [01.08.2008|01:35] C:\Programme\Gemeinsame Dateien\DESIGNER
  [30.07.2008|23:18] C:\Programme\Gemeinsame Dateien\Dienste
  [08.08.2008|21:50] C:\Programme\Gemeinsame Dateien\DirectX
  [05.03.2009|18:49] C:\Programme\Gemeinsame Dateien\InstallShield
  [17.03.2009|10:14] C:\Programme\Gemeinsame Dateien\Macromedia
  [01.08.2008|15:04] C:\Programme\Gemeinsame Dateien\Macrovision Shared
  [02.12.2008|10:53] C:\Programme\Gemeinsame Dateien\MAGIX Shared
  [14.10.2008|01:17] C:\Programme\Gemeinsame Dateien\Microsoft Shared
  [30.07.2008|23:18] C:\Programme\Gemeinsame Dateien\MSSoap
  [30.07.2008|23:43] C:\Programme\Gemeinsame Dateien\ODBC
  [31.07.2008|15:57] C:\Programme\Gemeinsame Dateien\snp2uvc
  [30.07.2008|23:43] C:\Programme\Gemeinsame Dateien\SpeechEngines
  [22.08.2008|22:19] C:\Programme\Gemeinsame Dateien\System
  [17.02.2009|10:00] C:\Programme\Gemeinsame Dateien\TechSmith Shared
  [20.10.2008|12:32] C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
  [12.12.2008|19:52] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
  [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
  [19|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

  --------------------\\  Process

  ( 47 Processes )

  ... OK !

  --------------------\\  Ueberpruefung mit S_Lop

  Kein Lop Ordner gefunden !
 
  --------------------\\  Suche nach Lop Dateien - Ordnern

  Kein Lop Ordner gefunden !
 
  --------------------\\  Suche innerhalb der Registry
 
  ..... OK !

  --------------------\\  Ueberpruefung der Hosts Datei

  Hosts Datei SAUBER


  --------------------\\  Suche nach verborgenen Dateien mit Catchme
 
  catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
  Rootkit scan 2009-05-05 23:29:03
  Windows 5.1.2600 Service Pack 3 NTFS
  scanning hidden processes ...
  scanning hidden files ...
  scan completed successfully
  hidden processes: 0
  hidden files: 0
 
  --------------------\\  Suche nach anderen Infektionen

  --------------------\\  Cracks & Keygens ..

  C:\DOKUME~1\MOAMER~1\Eigene Dateien\CS Condition Zero\CS.Condition.Zero.LanVersion\Keygen Czero wichtig!!!!.txt
  C:\DOKUME~1\MOAMER~1\Eigene Dateien\CS Condition Zero\CS.Condition.Zero.LanVersion\Condition Zero\Keygen Czero wichtig!!!!.txt
  C:\DOKUME~1\MOAMER~1\Eigene Dateien\Eigene Musik\Strana\Massiv\Blut gegen Blut\23 - Mein Crack (feat VS Mafia).mp3
  C:\DOKUME~1\MOAMER~1\Eigene Dateien\Eigene Musik\Strana\The Game\The Black Wall Street Journal Volume 1\100 bars of crack.mp3
  C:\DOKUME~1\MOAMER~1\Recent\Keygen Czero wichtig!!!!.txt.lnk


  [F:93][D:9]-> C:\DOKUME~1\MOAMER~1\LOKALE~1\Temp
  [F:19][D:0]-> C:\DOKUME~1\MOAMER~1\Cookies
  [F:1107][D:5]-> C:\DOKUME~1\MOAMER~1\LOKALE~1\TEMPOR~1\content.IE5

  1 - "C:\Lop SD\LopR_1.txt" - 04.05.2009|23:11 - Option : [1]
  2 - "C:\Lop SD\LopR_2.txt" - 05.05.2009|23:30 - Option : [2]

  --------------------\\  Scan beendet um 23:30:50

2.) erledigt

3.)

Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/06/2009 at 00:56 AM

Application Version : 4.26.1002

Core Rules Database Version : 3878
Trace Rules Database Version: 1826

Scan type      : Complete Scan
Total Scan Time : 01:07:20

Memory items scanned      : 516
Memory threats detected  : 0
Registry items scanned    : 5894
Registry threats detected : 0
File items scanned        : 118478
File threats detected    : 2

Adware.Tracking Cookie
        C:\Dokumente und Einstellungen\Moamer Hamzic\Cookies\moamer_hamzic@doubleclick[1].txt
        C:\Dokumente und Einstellungen\Moamer Hamzic\Cookies\moamer_hamzic@atdmt[2].txt

mfg

john.doe 06.05.2009 16:00
1.) Was hast du denn da auf dem Desktop?
Zitat:
C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop\data002
2.) Deinstalliere:
  • SuperAntiSpyware.
  • PrevxCSI
  • CureIt
3.) Überprüfe den Rechner mit dem AVP-Tool

4.) Lade dir nochmal ein neues ComboFix.

Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

File::
C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop\data002
c:\windows\system32\btncopyd.dll
j:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

sweetchuck 06.05.2009 19:35
Hier das geforderte Log:

Code:

ComboFix 09-05-05.05 - XXX 06.05.2009 20:24.4 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1401 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Moamer Hamzic\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Moamer Hamzic\Desktop\cfscript.txt
AV: avast! antivirus 4.8.1335 [VPS 090505-0] *On-access scanning disabled* (Updated)

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
c:\dokumente und einstellungen\Moamer Hamzic\Desktop\data002
c:\windows\system32\btncopyd.dll
j:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\btncopyd.dll

.
(((((((((((((((((((((((  Dateien erstellt von 2009-04-06 bis 2009-05-06  ))))))))))))))))))))))))))))))
.

2009-05-03 13:57 . 2009-05-03 13:57        --------        d-----w        c:\dokumente und einstellungen\Moamer Hamzic\Anwendungsdaten\Malwarebytes
2009-05-03 13:57 . 2009-04-06 13:32        15504        ----a-w        c:\windows\system32\drivers\mbam.sys
2009-05-03 13:57 . 2009-04-06 13:32        38496        ----a-w        c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-03 13:57 . 2009-05-03 13:57        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-03 13:57 . 2009-05-03 13:57        --------        d-----w        c:\programme\Malwarebytes' Anti-Malware
2009-05-03 11:11 . 2009-05-03 11:11        --------        d-----w        c:\programme\CCleaner
2009-04-28 19:46 . 2009-04-28 19:45        102664        ----a-w        c:\windows\system32\drivers\tmcomm.sys
2009-04-28 19:45 . 2009-04-28 20:43        --------        d-----w        c:\dokumente und einstellungen\Moamer Hamzic\.housecall6.6
2009-04-28 18:55 . 2009-04-28 18:55        --------        d-----w        c:\programme\Trend Micro
2009-04-24 22:39 . 2009-03-10 20:18        455048        ----a-w        c:\windows\system32\KB905474\wgasetup.exe
2009-04-24 22:39 . 2009-04-24 22:39        --------        d-----w        c:\windows\system32\KB905474
2009-04-24 22:39 . 2009-03-10 20:26        1436544        ----a-w        c:\windows\system32\KB905474\wganotifypackageinner.exe
2009-04-16 08:44 . 2009-04-16 08:44        --------        d-sh--w        c:\dokumente und einstellungen\Moamer Hamzic\IECompatCache
2009-04-15 16:55 . 2009-02-06 10:10        227840        -c----w        c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 16:55 . 2009-03-06 14:19        286720        -c----w        c:\windows\system32\dllcache\pdh.dll
2009-04-15 16:55 . 2009-02-09 11:21        111104        -c----w        c:\windows\system32\dllcache\services.exe
2009-04-15 16:55 . 2009-02-09 10:51        401408        -c----w        c:\windows\system32\dllcache\rpcss.dll
2009-04-15 16:55 . 2009-02-09 10:51        473600        -c----w        c:\windows\system32\dllcache\fastprox.dll
2009-04-15 16:55 . 2009-02-09 10:51        678400        -c----w        c:\windows\system32\dllcache\advapi32.dll
2009-04-15 16:55 . 2009-02-09 10:51        736768        -c----w        c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 16:55 . 2009-02-09 10:51        453120        -c----w        c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 16:55 . 2009-02-09 10:51        740352        -c----w        c:\windows\system32\dllcache\ntdll.dll
2009-04-15 15:43 . 2008-04-21 21:13        217600        -c----w        c:\windows\system32\dllcache\wordpad.exe
2009-04-13 13:18 . 2009-04-13 13:18        --------        d-----w        c:\dokumente und einstellungen\Moamer Hamzic\Anwendungsdaten\CoSoSys

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-06 18:26 . 2009-05-03 21:05        28880        --sha-w        c:\windows\system32\drivers\fidbox.idx
2009-05-06 18:26 . 2009-05-03 21:05        2283552        --sha-w        c:\windows\system32\drivers\fidbox.dat
2009-05-06 16:42 . 2009-05-05 21:41        --------        d-----w        c:\dokumente und einstellungen\Moamer Hamzic\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-06 16:42 . 2009-05-05 21:41        --------        d-----w        c:\programme\SUPERAntiSpyware
2009-05-06 16:42 . 2008-08-27 12:21        --------        d-----w        c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-05 23:13 . 2009-05-05 23:13        --------        d-----w        c:\dokumente und einstellungen\Administrator.MOE-PC\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-05 21:41 . 2009-05-05 21:41        --------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-03 23:53 . 2009-02-27 09:31        --------        d-----w        c:\programme\Google
2009-05-03 23:52 . 2009-05-03 19:17        --------        d-----w        c:\programme\Panda Security
2009-05-03 12:27 . 2008-07-31 12:42        83424        ----a-w        c:\dokumente und einstellungen\Moamer Hamzic\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-10 13:27 . 2008-07-31 11:12        --------        d--h--w        c:\programme\InstallShield Installation Information
2009-04-07 15:38 . 2009-03-19 11:17        --------        d-----w        c:\programme\Java
2009-04-04 16:18 . 2009-04-04 16:18        --------        d-----w        c:\programme\Ubisoft Entertainment
2009-03-27 19:00 . 2009-03-27 19:00        --------        d-----w        c:\programme\Ubisoft
2009-03-27 15:11 . 2009-03-27 14:20        --------        d-----w        c:\programme\Left 4 Dead
2009-03-17 08:14 . 2009-03-17 08:13        --------        d-----w        c:\programme\Gemeinsame Dateien\Macromedia
2009-03-17 08:13 . 2009-03-17 08:13        --------        d-----w        c:\programme\Macromedia
2009-03-13 09:21 . 2009-03-13 08:53        --------        d-----w        c:\programme\XMind
2009-03-12 16:25 . 2008-07-31 11:28        5051904        ----a-w        c:\windows\system32\drivers\RtkHDAud.sys
2009-03-12 16:21 . 2008-07-31 11:28        17531392        ----a-w        c:\windows\RTHDCPL.EXE
2009-03-12 14:34 . 2009-03-25 18:05        39424        ----a-w        c:\windows\system32\RtkCoInstXP.dll
2009-03-10 13:32 . 2008-07-31 11:28        2168320        ----a-w        c:\windows\MicCal.exe
2009-03-09 20:26 . 2009-03-04 16:36        977        ----a-w        c:\windows\eReg.dat
2009-03-09 03:19 . 2008-10-10 08:28        410984        ----a-w        c:\windows\system32\deploytk.dll
2009-03-08 02:34 . 2004-11-11 13:00        914944        ----a-w        c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2004-11-11 13:00        43008        ----a-w        c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2004-11-11 13:00        18944        ----a-w        c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2004-11-11 13:00        420352        ----a-w        c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2004-11-11 13:00        72704        ----a-w        c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2004-11-11 13:00        71680        ----a-w        c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2004-11-11 13:00        34816        ----a-w        c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2004-11-11 13:00        48128        ----a-w        c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2004-11-11 13:00        45568        ----a-w        c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2004-11-11 13:00        156160        ----a-w        c:\windows\system32\msls31.dll
2009-03-06 14:19 . 2004-11-11 13:00        286720        ----a-w        c:\windows\system32\pdh.dll
2009-03-02 10:14 . 2008-07-31 11:28        57344        ----a-w        c:\windows\ALCMTR.EXE
2009-03-01 13:50 . 2009-03-01 13:50        664        ----a-w        c:\windows\system32\d3d9caps.dat
2009-02-09 14:04 . 2004-11-11 13:00        1846912        ----a-w        c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2004-08-04 00:50        2026496        ----a-w        c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2004-11-11 13:00        2147840        ----a-w        c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2004-11-11 13:00        111104        ----a-w        c:\windows\system32\services.exe
2009-02-09 10:51 . 2004-11-11 13:00        736768        ----a-w        c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2004-11-11 13:00        401408        ----a-w        c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2004-11-11 13:00        678400        ----a-w        c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2004-11-11 13:00        740352        ----a-w        c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2004-11-11 13:00        35328        ----a-w        c:\windows\system32\sc.exe
2008-10-06 07:15 . 2008-10-06 07:15        14852        ----a-w        c:\programme\settings.dat
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"SynTPStart"="c:\programme\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 995328]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 1101824]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-11 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-11 81920]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"PLFSet"="c:\windows\PLFSet.dll" [2007-04-25 45056]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-04-04 421888]
"Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]

c:\dokumente und einstellungen\Moamer Hamzic\Startmen\Programme\Autostart\
Mousometer.lnk - c:\dokumente und einstellungen\Moamer Hamzic\Desktop\mousometer.exe [2008-10-10 140288]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2008-8-1 45056]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-1-17 618557]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Hamachi\\hamachi.exe"=
"d:\\Setup\\Gamez\\CS Condition Zero\\CS.Condition.Zero.LanVersion\\Condition Zero\\czero.exe"=
"d:\\Setup\\Gamez\\CS Condition Zero\\CS.Condition.Zero.LanVersion\\Condition Zero\\hltv.exe"=
"d:\\Setup\\Gamez\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\Maxima-5.16.3\\wxMaxima\\wxMaxima.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Moamer Hamzic\\Eigene Dateien\\Schule\\E\\TeamViewer\\TeamViewer.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Ubisoft\\Tom Clancy's H.A.W.X\\HAWX.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [31.07.2008 16:47 114768]
R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [27.07.2007 10:13 330144]
R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [27.07.2007 12:46 251680]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [31.07.2008 16:47 20560]
R2 BPowMon;Broadcom Power monitoring service;c:\programme\Broadcom\BACS\BPowMon.exe [31.08.2006 17:04 65536]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [25.03.2009 20:05 1684736]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
uInternet Settings,ProxyServer = proxy.salzburg.at:82
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\Moamer Hamzic\Anwendungsdaten\Mozilla\Firefox\Profiles\ob855iar.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.at/
FF - prefs.js: network.proxy.ftp - proxy.salzburg.at
FF - prefs.js: network.proxy.ftp_port - 82
FF - prefs.js: network.proxy.gopher - proxy.salzburg.at
FF - prefs.js: network.proxy.gopher_port - 82
FF - prefs.js: network.proxy.http - proxy.salzburg.at
FF - prefs.js: network.proxy.http_port - 82
FF - prefs.js: network.proxy.socks - proxy.salzburg.at
FF - prefs.js: network.proxy.socks_port - 82
FF - prefs.js: network.proxy.ssl - proxy.salzburg.at
FF - prefs.js: network.proxy.ssl_port - 82
FF - prefs.js: network.proxy.type - 4
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-06 20:29
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2000478354-1123561945-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:68,de,a1,13,3c,62,e2,77,52,b7,42,f3,2e,9e,91,44,63,8e,73,e3,0d,
  07,85,05,98,4a,86,7d,14,d0,69,a4,9a,80,dc,d4,51,cd,8c,bb,82,21,0c,6c,84,3e,\
"rkeysecu"=hex:62,8e,1e,e2,29,cc,f0,0b,16,13,2e,53,74,95,18,8f
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1008)
c:\windows\system32\netprovcredman.dll

- - - - - - - > 'explorer.exe'(3760)
c:\acer\Empowering Technology\ePower\SysHook.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\Alwil Software\Avast4\ashServ.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Synaptics\SynTP\SynTPEnh.exe
c:\windows\system32\rundll32.exe
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
c:\windows\system32\wbem\unsecapp.exe
c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-06 20:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-05-06 18:32
ComboFix2.txt  2009-05-03 12:30

Vor Suchlauf: 14 Verzeichnis(se), 55.069.929.472 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 55.318.335.488 Bytes frei

227        --- E O F ---        2009-04-28 20:44

Ich habe mittlerweile keine Dateien mehr auf meinem USB-Stick, weder eine autorun.inf noch einen Recycler-Ordner.


Das AVP-Tool hat gar nichts gefunden.


mfg

john.doe 06.05.2009 20:40
Logs sind alle sauber. Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten?

Start => Ausführen => combofix /u => OK

ciao, andreas

sweetchuck 06.05.2009 20:47
Nein, keine Auffälligkeiten!

Avast meldet keine Gefahren, Kaspersky hat auch keine gemeldet!


Auf dem Stick erscheinen keine Dateien mehr... sieht alles in Ordnung aus!


mfg

john.doe 06.05.2009 20:48
Dann bist du entlassen. :)

Alle Programme, die wir eingesetzt haben, können deinstalliert/gelöscht werden.

ciao, andreas

sweetchuck 06.05.2009 20:53
Ich bedanke mich herlich für deine Hilfe. :aplaus::aplaus:

Ohne dich wäre das nicht möglich gewesen.



mach weiter so, solche hilfsbereiten menschen braucht die welt!




Ich hoffe dass ich hier nicht mehr so bald nach Hilfe fragen muss..


aber bis dahin.. keep it real!



mfg


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:42 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129