Trojaner-Board
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm (https://www.trojaner-board.de/77756-tr-fakeav-bak-2-html-malicious-pdf-gen-eventuell-tr-dldr-fraudlo-sxm.html)

john.doe 29.09.2009 16:02
Vorher die *** durch deinen Anmeldenamen ersetzen. Vor dem Ausführen des Scriptes die Internetverbindung kappen (Stecker ziehen/WLAN deaktivieren), sonst bekommt jemand den ganzen Müll, den ich lösche, zugeschickt.

Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

File::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\gewewyvyta.db
c:\dokumente und einstellungen\All Users\Anwendungsdaten\exuzany.dat
c:\dokumente und einstellungen\*********\Anwendungsdaten\aqaxot.dat
c:\windows\byqux._sy
c:\windows\anujaku._sy
c:\windows\oqavavycag._sy
c:\windows\ywuxeh.lib
c:\windows\system32\qijoxyb.db
c:\windows\system32\zamovivol._sy
c:\windows\system32\jamahok.db
c:\programme\Gemeinsame Dateien\luhel.db
c:\programme\Gemeinsame Dateien\odijufajix.dat
c:\programme\Gemeinsame Dateien\imokybyny.db
c:\windows\system32\perfh007.dat
c:\windows\system32\perfc007.dat
c:\dokumente und einstellungen\*********\Lokale Einstellungen\Anwendungsdaten\papy.lib
c:\dokumente und einstellungen\*********\Lokale Einstellungen\Anwendungsdaten\adyqalyq.db
c:\VO.log
c:\dxva.log
c:\install.log
c:\SVKSettings.txt
c:\drivez.log
c:\windows\system32\perfh009.dat
c:\windows\system32\perfc009.dat
C:\WINDOWS\system32\CONFIG.TMP
C:\WINDOWS\system32\SETD3.tmp
C:\WINDOWS\system32\SETD6.tmp
C:\WINDOWS\system32\SETE2.tmp
C:\WINDOWS\system32\SETE4.tmp
C:\WINDOWS\system32\AccConnBasic.Log
C:\WINDOWS\system32\spupdwxp.log
C:\WINDOWS\system32\TZLog.log
C:\WINDOWS\002851_.tmp
C:\WINDOWS\clock.avi

Folder::
c:\2aeb7ad095a678d53d55a9
c:\48de36c8a253698daa
c:\b30a5476b8f3e0a39e9b68bf
c:\ec6a754e432cb7c3e732c20764
c:\Config.Msi
c:\rsit
C:\WINDOWS\Temp
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp
C:\Programme\Zone Labs
C:\Programme\Online-Dienste
C:\Programme\Online Services

DirLook::
c:\Recycled
c:\Recycler
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Log von Combofix posten.

Das Log wird sehr groß werden. Lade es bei einem Filehoster hoch (z.B. www.file-upload.net) und poste hier den Link.


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

All_I_Need 30.09.2009 22:48
Hallo Andreas,

da bin ich wieder mit Verspätung:
PrevXCI hat nichts gefunden und Pandafix muss ich noch mal machen, weil ich das mit der Logdatei nicht hinbekommen hab.

Und hier ist dein Combofixlog:

http://www.materialordner.de/xHp6pTIZccvaOGe4fGTKt5KmJaga1D.html

wieder einmal Danke für Geduld und Hilfe

Gute Nacht
Christina

john.doe 30.09.2009 22:52
Das sieht schon viel freundlicher aus. :)

Wie geht es dem Rechner? Gibt es noch Meldungen oder Auffälligkeiten?

Gute Nacht, Andreas

All_I_Need 30.09.2009 23:27
Meine auch, dass das ganz ok aussieht.

hier mein log aus Panda, dass ich grad wiedergefunden hab:
;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-09-30 22:55:02
PROTECTIONS: 1
MALWARE: 19
SUSPECTS: 1
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.32 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@casalemedia[1].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@doubleclick[3].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@atdmt[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@atdmt[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@tradedoubler[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@tradedoubler[2].txt
00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@tribalfusion[2].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@mediaplex[2].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@ad.yieldmanager[3].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@ad.yieldmanager[2].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@apmebf[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@serving-sys[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@serving-sys[3].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@bs.serving-sys[3].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@bs.serving-sys[1].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@weborama[2].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@weborama[3].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@adtech[2].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@advertising[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@advertising[3].txt
00170304 Cookie/WebtrendsLive TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@statse.webtrendslive[2].txt
00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@questionmarket[1].txt
00172221 Cookie/Zedo TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@zedo[2].txt
00198795 Bck/Dumador.CU Virus/Trojan No 0 Yes No C:\WINDOWS\system32\drivers\etc\HOSTS.bak
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@smartadserver[1].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\******\Cookies\christina_******@smartadserver[2].txt
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP314\A0133887.sys
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
No C:\Dokumente und Einstellungen\******\Desktop\Christina\downloads\RealPlayer11GOLD_de.exe
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

endgültig gute Nacht:kaffee:

john.doe 01.10.2009 16:13
1.) Wie geht es dem Rechner? Gibt es noch Meldungen oder Auffälligkeiten?

2.) Start => Ausführen => combofix /u => OK

3.) Deinstalliere:
  • Panda Active Scan
  • PrevxCSI
4.) Poste ein neues HJT-Log.

ciao, andreas

All_I_Need 01.10.2009 20:58
Hallo Andreas,

na, was meinst denn du, wie es aussieht? Ich selbst merke keine Veränderung am Rechner. Er lief die ganze Zeit gut. Daher können wir nur auf die logs vertrauen.
Start => Ausführen => combofix /u => OK
hat bei mir nicht geklappt, da kam immer ne Fehlermeldung.

meine letztes log liegt hier: kannst du darin noch Schädliches entdecken?

http://www.materialordner.de/EjQigJl...iMJhOiJpO.html

john.doe 01.10.2009 21:07
Zitat:
da kam immer ne Fehlermeldung.
Dann eben von Hand. Lösche die Ordner (falls vorhanden):
Zitat:
C:\Cofi
C:\ComboFix
C:\Qoobox
C:\windows\erdnt
und die Datei
Zitat:
C:\combofix.txt
Zitat:
kannst du darin noch Schädliches entdecken?
Die Schädlinge sind schon weg, jetzt geht es nur noch darum, den Rechner etwas schneller zu machen.

Starte HJT => Do a system scan only => Markiere:
Code:
Alle R0, R1, O2, O3, O8, O9, O11, O14, O16 und O20-Einträge
=> Fix checked

Du bist entlassen oder gehet hin im Frieden des Herrn. :)

ciao, andreas

All_I_Need 01.10.2009 21:40
Brauch doch nicht von hand löschen:)

hatte nen Leerzeichen vergessen:

hier das letzte log von Combofix:
Zitat:
ComboFix 09-09-27.05 - ************** 01.10.2009 22:07.4.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.583 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\**************\Desktop\cofi.exe
Benutzte Befehlsschalter :: / u
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((( Dateien erstellt von 2009-09-01 bis 2009-10-01 ))))))))))))))))))))))))))))))
.

2009-10-01 19:48 . 2009-10-01 19:48 -------- d-----w- C:\rsit
2009-09-30 15:51 . 2009-10-01 19:44 -------- d-----w- c:\programme\Panda Security
2009-09-27 21:02 . 2009-09-27 21:10 -------- d-----w- C:\cofi
2009-09-27 16:40 . 2009-09-27 17:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2009-09-27 16:40 . 2009-09-27 16:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-09-27 13:55 . 2009-09-27 13:56 -------- dc-h--w- c:\windows\ie8
2009-09-27 13:43 . 2009-09-27 13:43 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-09-27 13:40 . 2009-09-27 13:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-09-27 13:26 . 2009-09-27 13:26 2560 ----a-w- c:\windows\_MSRSTRT.EXE
2009-09-23 16:26 . 2009-09-23 16:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-09-23 16:26 . 2009-09-27 13:35 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-09-23 16:26 . 2009-09-27 13:35 -------- d-----w- c:\dokumente und einstellungen\**************\Anwendungsdaten\SUPERAntiSpyware.com
2009-09-23 08:18 . 2009-10-01 19:48 -------- d-----w- c:\programme\trend micro
2009-09-23 08:04 . 2009-09-23 08:04 -------- d-----w- c:\programme\CCleaner
2009-09-23 00:37 . 2009-09-23 00:37 -------- d-----w- c:\dokumente und einstellungen\**************\Anwendungsdaten\Malwarebytes
2009-09-23 00:37 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-23 00:37 . 2009-09-23 00:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-23 00:37 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-23 00:37 . 2009-09-23 00:37 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-22 22:56 . 2009-09-22 22:56 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\PrivacIE
2009-09-22 22:56 . 2009-09-22 22:56 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-09-09 17:31 . 2009-06-21 21:45 153088 ------w- c:\windows\system32\dllcache\triedit.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-30 21:17 . 2009-09-30 21:17 4612 ----a-w- c:\windows\system32\PerfStringBackup.TMP
2009-09-27 17:40 . 2006-10-19 12:05 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2009-09-27 16:40 . 2006-10-19 12:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-09-27 13:36 . 2009-06-21 20:15 -------- d-----w- c:\programme\VideoLAN
2009-09-27 13:35 . 2009-06-17 12:08 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-09-27 13:33 . 2006-10-19 11:46 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-09-27 13:32 . 2006-10-19 12:15 -------- d-----w- c:\programme\Google
2009-09-22 23:31 . 2009-08-05 19:52 -------- d-----w- c:\programme\BitTorrent
2009-09-22 23:31 . 2009-08-05 19:53 -------- d-----w- c:\dokumente und einstellungen\**************\Anwendungsdaten\BitTorrent
2009-09-20 11:27 . 2009-02-13 13:46 -------- d-----w- c:\dokumente und einstellungen\**************\Anwendungsdaten\Move Networks
2009-09-14 12:41 . 2009-05-31 15:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON
2009-09-09 17:42 . 2009-07-07 16:25 -------- d-----w- c:\programme\Microsoft Silverlight
2009-08-23 17:05 . 2007-01-13 19:54 37912 ----a-w- c:\dokumente und einstellungen\**************\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-21 06:14 . 2009-08-21 06:14 -------- d-----w- c:\programme\MSBuild
2009-08-21 06:14 . 2009-08-21 06:14 -------- d-----w- c:\programme\Reference Assemblies
2009-08-05 13:00 . 2009-03-19 10:50 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-05 08:59 . 1979-12-31 23:00 206336 ------w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:01 . 1979-12-31 23:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 1979-12-31 23:00 286208 ------w- c:\windows\system32\wmpdxm.dll
2008-05-05 17:33 . 2008-05-05 17:33 14852 ----a-w- c:\programme\settings.dat
.

((((((((((((((((((((((((((((( SnapShot@2009-09-27_21.09.00 )))))))))))))))))))))))))))))))))))))))))
.
- 1979-12-31 23:00 . 2009-08-21 06:18 71394 c:\windows\system32\perfc009.dat
+ 1979-12-31 23:00 . 2009-09-30 21:17 71394 c:\windows\system32\perfc009.dat
+ 1979-12-31 23:00 . 2009-09-30 21:17 441458 c:\windows\system32\perfh009.dat
- 1979-12-31 23:00 . 2009-08-21 06:18 441458 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 864256]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2006-02-24 237568]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-03-09 94208]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"LPManager"="c:\progra~1\THINKV~1\PrdCtr\LPMGR.exe" [2006-03-23 106496]
"AMSG"="c:\progra~1\THINKV~1\AMSG\amsg.exe" [2005-11-14 487424]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-08-01 122940]
"AwaySch"="c:\programme\Lenovo\AwayTask\AwaySch.EXE" [2006-03-23 69632]
"cssauthe"="c:\programme\IBM ThinkVantage\Client Security Solution\cssauthe.exe" [2005-12-21 1988144]
"PDService.exe"="c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" [2005-11-15 49152]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2005-10-28 335872]
"DiskeeperSystray"="c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-03-01 196710]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2006-04-17 409600]
"ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2006-04-17 98304]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2006-03-23 151552]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2006-03-23 208896]
"WorksFUD"="c:\programme\Microsoft Works\wkfud.exe" [2001-10-09 24576]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2006-03-28 503808]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"TrackPointSrv"="tp4serv.exe" - c:\windows\system32\tp4serv.exe [2005-07-13 94208]
"TP4EX"="tp4ex.exe" - c:\windows\system32\TP4EX.exe [2005-10-17 65536]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\ThinkPad\Bluetooth Software\BTTray.exe [2006-1-17 618557]
Erinnerungen in Microsoft Works-Kalender.lnk - c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe [2001-10-4 24633]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-4-29 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify]
2006-03-23 01:03 49152 ------w- c:\programme\Lenovo\AwayTask\AwayNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify]
2006-04-17 12:01 32768 ------w- c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 22:45 28672 ------w- c:\windows\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 19:16 24576 ------w- c:\windows\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli csspwntfye

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=

R1 TPPWRIF;TPPWRIF;c:\windows\system32\drivers\TPPWRIF.SYS [19.10.2006 14:15 4442]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.03.2009 12:50 108289]
R2 ibmfilter;ibmfilter;c:\windows\system32\drivers\ibmfilter.sys [21.12.2005 18:14 12544]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [04.09.2007 10:14 87344]
R2 PrivateDisk;PrivateDisk;c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\privatediskm.sys [15.11.2005 14:11 46142]
R2 smi2;smi2;c:\programme\SMI2\smi2.sys [21.12.2005 17:45 3968]
R3 Tp4Track;PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [01.01.1980 01:00 13840]
S3 AF05BDA;AF9005 BDA Device;c:\windows\system32\drivers\AF05BDA.sys [22.01.2007 20:43 133504]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-10-01 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2006-10-19 00:13]

2009-09-30 c:\windows\Tasks\User_Feed_Synchronization-{E43F0CF1-5770-4D75-91B6-0AA550740B74}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://web.de/fm/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
LSP: c:\programme\FRITZ!DSL\\sarah.dll
FF - ProfilePath - c:\dokumente und einstellungen\**************\Anwendungsdaten\Mozilla\Firefox\Profiles\t7x70c27.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.ask.com/?o=101764&l=dis
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-01 22:12
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(856)
c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\windows\system32\tphklock.dll
c:\programme\Lenovo\AwayTask\AwayNotify.dll
c:\windows\system32\igfxdev.dll
c:\windows\system32\notifyf2.dll

- - - - - - - > 'lsass.exe'(912)
c:\programme\IBM ThinkVantage\Client Security Solution\csspwntfye.dll
c:\programme\IBM ThinkVantage\Client Security Solution\cssuserdatadispatcher.dll
c:\programme\IBM ThinkVantage\Client Security Solution\ibmtsp.dll
c:\programme\IBM ThinkVantage\Client Security Solution\tcsrpc.dll
c:\programme\FRITZ!DSL\sarah.dll
c:\programme\FRITZ!DSL\block.dll

- - - - - - - > 'explorer.exe'(1696)
c:\windows\system32\PROCHLP.DLL
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-10-01 22:14
ComboFix-quarantined-files.txt 2009-10-01 20:14
ComboFix2.txt 2009-09-30 21:17
ComboFix3.txt 2009-09-28 20:57
ComboFix4.txt 2009-09-27 21:10

Vor Suchlauf: 6.692.753.408 Bytes frei
Nach Suchlauf: 6.743.183.360 Bytes frei

196 --- E O F --- 2009-09-27 14:02







Ist mein Rechner jetzt "geheilt"? :Boogie:

Dann bedanke ich mich mit einem virtuellen Bierchen:
:party:
und 4Mose 6,24-26 :)

john.doe 01.10.2009 21:47
Zitat:
Benutzte Befehlsschalter :: / u
Das war schon ein Leerzeichen, aber an der falschen Stelle. :)

Markiere und kopiere den Text in der Box und füge ihn bei Start => Ausführen ein. Es muss die Meldung kommen Combofix wird deinstalliert.
Code:
combofix /u
Zitat:
Ist mein Rechner jetzt "geheilt"?
:daumenhoc
Zitat:
Dann bedanke ich mich mit einem virtuellen Bierchen
Lass uns anstoßen. :party:

Für die, die noch mitlesen sollten und nicht so bibelfest sind => Bibel-Online.NET - - Lutherbibel 1912

ciao, andreas

john.doe 02.10.2009 15:57
:eek: Ich habe doch glatt etwas übersehen.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:26 Uhr.
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19