Trojaner-Board - AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA (https://www.trojaner-board.de/89053-avg-9-finden-sheuer-aqum-dropper-sheur-aqra.html)

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA

Hallo,
Ich habe ein Problem mit meinem Rechner. Als AntiViren Software verwende ich AVG Free 9. Dieses Programm hat mir nun gesagt das fast mein ganzer Rechner mit dem SHeur AQUM, AQRA Trojaner infiziert sei. Ich bin nun natürlich aufgeschreckt. Habe dann erstmal AVG deaktiviert und habe den Online Scanner von F-Secure laufen lassen. Dieser hat aber außer Tracking Cookies nichts gefunden. Damit habe ich mich aber nicht zufrieden gegeben. Habe dann noch Spybot laufen lassen. Dieser hat nur Tracking Cookies gefunden und das von mir deaktivierte Sicherheitscenter von XP. Auch Malwarebytes hat nichts gefunden. Habe sogar AntiTrojan laufen lassen. Wieder mit negativem Ergebnis.
Ich habe auch keine ungewöhnliche Netzwerkaktivität.
Nun habe ich ein Hijack This Log gemacht und auch Rsit laufen lassen.
Diese Logs hänge ich mal an den Post an in der Hoffnung das einer von euch mir halfen kann.
MfG

Noch ein Nachtrag.
Ich habe soeben festgestellt, das immer wenn ich ein Programm starte, egal welches, der Internet Explorer als Prozess mit startet. Er startet nur als Prozess, nicht als Programmfenster. Ich kann den Prozess im Taskmanager manuell, beenden und das normal gestartete Programm läuft normal weiter.
Wenn ich das von mir gestartete Programm beende ohne den IE Prozess beendet zu haben, läuft der Ie Prozess weiter.

Edit: Ich habe soeben festgestellt, das mein Lautstärke Mixer nicht mehr funktioniert. Laut Hardware Manager ist dieser aber installiert und funktioniert. Nur ist bei Audioeigenschaften alles deaktiviert und an den Mixer komme ich auch nicht heran.
Habe hier im Forum schon ähnliche Fälle gelesen, aber ich höre weder Klickgeräusche noch Schlachtmusik. Bluescreens habe ebenfalls keine und wenn ich den IE Prozess kille bleibt er auch gekillt, bis zum start des nächsten Programms.

Hmm, Wieso kann ich meinen eigenen erstellten Beitrag nicht selbst editieren? o_O

Egal. Habe eben mal den BootKit Remover ausgeführt.

Hier das Log:

Code:

Bootkit Remover

(c) 2009 eSage Lab

www.esagelab.com

 

Program version: 1.1.0.0

OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

 

System volume is \\.\C:

\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00

Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

 

     Size  Device Name          MBR Status

 --------------------------------------------

  1397 GB  \\.\PhysicalDrive0   Unknown boot code

 

Unknown boot code has been found on some of your physical disks.

To inspect the boot code manually, dump the master boot sector:

remover.exe dump <device_name> [output_file]

To disinfect the master boot sector, use the following command:

remover.exe fix <device_name>

 

 

Done;

Press any key to quit...

:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Schritt 2

Downloade Dir bitte Load.exe

Das Tool benötigt eine aktive Internetverbindung, aber keinen offenen Browser
Sollte deine Firewall meckern, die Anwendung bitte zulassen.

Speichere die Datei am Desktop.
Doppelklick auf die load.exe
Belasse die Häckchen wie sie sind.
Schließe nun alle offenen Programme.
Klicke auf Download
Bitte während dem Download nicht in das Fenster klicken.
Folge den Anweisungen auf dem Bildschirm.
Wenn das Fenster Status aufpoppt klicke Start.

Nach dem Neustart findest Du einen Ordner MFTools auf dem Desktop. Darin befindet sich eine Anleitung.pdf.
Diese bitte öffnen und die darin beschriebenen Schritte abarbeiten.

Hallo.
Habe alle Schritte nach Anleitung ausgeführt. Es folgen die Logs.
Nach dem Reboot für die reinigung durch MBAM kam beim Windows Start folgende Fehlermeldung.
"Rundll
Fehler beim laden von C:\Windows\dftsonp.dll
Das angegebene Modul wurde nicht gefunden."
Mein Audiomixer funktioniert wieder. Leider startet der iexplore.exe Prozess immer noch im Hintergrund bei jedem Programm welches gestartet wird.

Die Logs habe ich in den Anhang gelegt da ich per Code einfügen sonst nicht posten konnte. Die OTL.txt habe ich in ein zip File gepackt da sie zum anhängen sonst zu groß gewesen wäre.

Zitat:

Zitat von larusso

Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

:schmoll:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png

Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
- Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
- Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

Hallo, habe Combofix ausgeführt. Allerdings habe ich bei den ersten 2 Versuchen immer die Fehlermeldung bekommen, das Combo-Fix.exe kompromittiert sei und und der Vorgang nicht fortgesetzt werden kann. Die Combo-Fix Exe hat sich daraufhin selbst gelöscht. Es wurde beim Ausführen der exe auch eine weitere exe Datei angelegt die "Combo-FixSrv.exe" hieß.
Habe dann noch einmal Malwarebyte laufen lassen und die Datei "dftsonp.dll" war wieder vorhanden. Habe die mit MBAM entfernt, den rechner neu gestartet und eine neu heruntergelandene Version von Combo-Fix ausgeführt. Daraufhin hat Combo-Fix funktioniert. Die datei "Desktoplayer.exe" ist weiterhin vorhanden. Es ist auch von der normalen "Explorer.exe" eine "ExplorerSrv.exe" vorhanden. Auch startet weiterhin bei jedem beliebigen Programmstart der "Iexplore.exe" Prozess.
So nun aber das Combofix Log.

Code:

ComboFix 10-08-04.05 - MP 05.08.2010  12:31:50.1.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2889 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\MP.MEDIAPC.000\Desktop\Combo-Fix.exe

.
  ADS - WINDOWS: deleted 24 bytes in 1 streams. 
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\programme\Internet Explorer\dmlconf.dat

c:\programme\Microsoft\DesktopLayer.exe

c:\programme\riva1\podm.exe

c:\programme\Xvid\StatsReader.exe

c:\windows\regedit.com

c:\windows\system32\taskmgr.com

c:\programme\Microsoft\DesktopLayer.exe . . . . Nicht in der Lage zu löschen
 

Infizierte Kopie von c:\windows\system32\drivers\redbook.sys wurde gefunden und desinfiziert 

Kopie von - Kitty had a snack :p wurde wiederhergestellt 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-07-05 bis 2010-08-05  ))))))))))))))))))))))))))))))

.
 

2010-08-04 09:37 . 2010-08-04 09:38        --------        d-----w-        c:\programme\ERUNT

2010-08-04 09:32 . 2010-08-04 09:32        --------        d-----w-        c:\programme\7-Zip

2010-08-02 15:34 . 2010-08-02 15:34        --------        d-----w-        c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\TrojanHunter

2010-08-02 14:38 . 2010-08-03 12:43        --------        d-----w-        c:\programme\TrojanHunter 5.3

2010-08-02 08:38 . 2010-08-05 10:38        --------        d-----w-        c:\programme\riva1

2010-08-01 23:35 . 2010-08-01 23:35        --------        d---a-w-        c:\windows\VDLL.DLL

2010-08-01 23:35 . 2010-08-01 23:35        --------        d---a-w-        c:\windows\system32\runouce.exe

2010-08-01 23:35 . 2010-08-01 23:35        --------        d---a-w-        c:\windows\rundll16.exe

2010-08-01 23:35 . 2010-08-01 23:35        --------        d---a-w-        c:\windows\RUNDL132.EXE

2010-08-01 23:35 . 2010-08-01 23:35        --------        d---a-w-        c:\windows\logo1_.exe

2010-08-01 23:35 . 2010-08-01 23:35        --------        d---a-w-        c:\windows\logo_1.exe

2010-08-01 23:31 . 2010-08-01 23:31        632064        ----a-w-        c:\windows\system32\msvcr80.dll

2010-08-01 23:31 . 2010-08-01 23:31        554240        ----a-w-        c:\windows\system32\msvcp80.dll

2010-08-01 23:31 . 2010-08-01 23:31        34048        ----a-w-        c:\windows\system32\eEmpty.exe

2010-08-01 23:31 . 2008-04-14 05:53        140800        ----a-w-        c:\windows\system32\T.COM

2010-08-01 23:31 . 2008-04-14 05:53        153600        ----a-w-        c:\windows\R.COM

2010-08-01 23:31 . 2010-08-01 23:31        --------        d-----w-        c:\programme\Gemeinsame Dateien\MicroWorld

2010-08-01 23:31 . 2010-08-01 23:31        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\MicroWorld

2010-08-01 23:02 . 2010-08-01 23:04        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy

2010-08-01 22:59 . 2010-08-01 22:59        --------        d-----w-        C:\rsit

2010-08-01 22:59 . 2010-08-01 22:59        --------        d-----w-        c:\programme\trend micro

2010-08-01 22:05 . 2010-08-01 22:05        --------        d-----w-        C:\$AVG

2010-08-01 22:05 . 2010-08-01 22:05        --------        d-----w-        c:\programme\AVG

2010-08-01 21:03 . 2010-08-01 21:03        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\F-Secure

2010-08-01 20:28 . 2010-08-01 20:28        --------        d-----w-        c:\windows\system32\NtmsData

2010-08-01 20:06 . 2010-08-01 20:06        --------        d-----w-        c:\programme\Gemeinsame Dateien\Java

2010-08-01 20:05 . 2010-08-01 20:05        423656        ----a-w-        c:\windows\system32\deployJava1.dll

2010-08-01 20:05 . 2010-08-01 20:05        --------        d-----w-        c:\programme\Java

2010-08-01 20:05 . 2010-08-01 20:05        79488        ----a-w-        c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Sun\Java\jre1.6.0_21\gtapi.dll

2010-08-01 19:18 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-08-01 19:18 . 2010-08-04 09:50        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-08-01 19:18 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-08-01 17:25 . 2010-08-05 10:39        --------        d-----w-        c:\programme\Microsoft
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-08-05 10:41 . 2006-02-28 12:00        511794        ----a-w-        c:\windows\system32\perfh007.dat

2010-08-05 10:41 . 2006-02-28 12:00        104128        ----a-w-        c:\windows\system32\perfc007.dat

2010-08-05 10:40 . 2009-08-16 15:26        1397        ----a-w-        c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\ASUS\Xonar D2 Audio Center\AsusAudioCenter.dll

2010-08-05 10:40 . 2010-08-05 10:17        59392        ----a-w-        c:\windows\ExplorerSrv.exe

2010-08-05 10:40 . 2010-08-05 10:40        59392        ----a-w-        c:\windows\system32\rundll32Srv.exe

2010-08-05 10:38 . 2009-01-22 18:43        --------        d-----w-        c:\programme\Xvid

2010-08-05 10:17 . 2009-04-08 17:32        --------        d-----w-        c:\programme\Opera

2010-08-04 09:35 . 2009-08-30 10:01        --------        d-----w-        c:\programme\DVBViewer TE2

2010-08-04 09:35 . 2009-01-18 18:03        --------        d-----w-        c:\programme\QuickTime

2010-08-04 09:27 . 2009-01-18 01:04        --------        d-----w-        c:\programme\DAEMON Tools Lite

2010-08-04 09:27 . 2009-08-16 17:53        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\SlySoft

2010-08-04 09:27 . 2009-04-03 19:56        --------        d-----w-        c:\programme\SlySoft

2010-08-02 08:14 . 2009-06-21 21:19        --------        d-----w-        c:\programme\Spybot - Search & Destroy

2010-08-01 18:07 . 2009-01-24 14:31        238080        ----a-w-        C:\utorrentXP.exe

2010-08-01 18:04 . 2009-10-24 17:31        --------        d-----w-        c:\programme\SUPERAntiSpyware

2010-08-01 17:37 . 2009-08-16 21:47        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Temp

2010-08-01 17:28 . 2009-02-01 15:40        632320        ----a-w-        C:\CDmage1-01-5.exe

2010-08-01 17:26 . 2010-01-16 15:54        --------        d-----w-        c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\BitTorrent

2010-08-01 17:20 . 2009-08-18 17:34        --------        d-----w-        c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\vlc

2010-07-11 17:59 . 2009-10-03 12:30        --------        d-----w-        c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Azureus

2006-05-03 09:06 . 2009-08-16 17:07        163328        --sh--r-        c:\windows\system32\flvDX.dll

2007-02-21 10:47 . 2009-08-16 17:07        31232        --sh--r-        c:\windows\system32\msfDX.dll

2008-03-16 12:30 . 2009-08-16 17:07        216064        --sh--r-        c:\windows\system32\nbDX.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2010-08-01 139264]

"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-08-01 159744]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-08-01 475136]

"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-08-16 198160]

"BDRegion"="c:\programme\Cyberlink\Shared Files\brs.exe" [2009-11-19 75048]

"Cmaudio8788GX"="c:\windows\system\HsMgr.exe" [2008-07-11 200704]

"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2008-07-21 87336]

"RemoteControl8"="c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2009-07-16 91432]

"PDVD8LanguageShortcut"="c:\programme\CyberLink\PowerDVD8\Language\Language.exe" [2009-04-15 50472]

"iMON"="c:\programme\SOUNDGRAPH\iMON\iMON.exe" [2010-08-02 2662400]

"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
 

c:\dokumente und einstellungen\MP.MEDIAPC.000\Startmen\Programme\Autostart\

Verknpfung mit SkystarIR.exe.lnk - c:\programme\DVBViewer TE2\SkystarIR.exe [2009-8-30 248320]
 

c:\dokumente und einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\

Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-8-16 805392]
 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2010-08-01 139264]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="c:\windows\system32\userinit.exe,,c:\programme\microsoft\desktoplayer.exe"
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2009-09-03 13:21        548352        ----a-w-        c:\programme\SUPERAntiSpyware\SASWINLO.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2008-05-02 00:42        72208        ----a-w-        c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

c:\windows\system32\dumprep 0 -k [X]
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2009-02-27 15:10        35696        ----a-w-        c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\utorrentXP.exe"=

"c:\\Programme\\DVBViewer TE2\\SkystarIR.exe"=

"c:\\Programme\\DVBViewerTE\\ts_winlirc.exe"=

"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=

"c:\\Programme\\Corel\\DVD9\\WinDVD.exe"=

"c:\\Programme\\Vuze\\Azureus.exe"=

"c:\\Programme\\DVBViewerTE\\SkystarIR.exe"=

"d:\\MediaPortal TV Server\\TvService.exe"=

"c:\\Programme\\Opera\\opera.exe"=

"c:\\Programme\\mIRC\\mirc.exe"=

"c:\\Programme\\CyberLink\\PowerDVD8\\PowerDVD8.exe"=

"c:\\Programme\\BitTorrent\\bittorrent.exe"=

"c:\\Programme\\DVBViewer TE2\\ts_winlirc.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"31456:TCP"= 31456:TCP:tvservice
 

R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [16.08.2009 22:09 3026]

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [12.10.2009 21:24 9968]

R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [12.10.2009 21:24 74480]

R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};Power Control [2009/12/07 21:07];c:\programme\CyberLink\PowerDVD8\000.fcl [28.08.2009 19:36 87536]

R2 regi;regi;c:\windows\system32\drivers\regi.sys [17.04.2007 20:09 11032]

R2 TVService;TVService;d:\mediaportal tv server\TvService.exe [16.08.2009 22:26 188416]

R3 cmudaxp;ASUS Xonar DX Audio Interface;c:\windows\system32\drivers\cmudaxp.sys [23.08.2009 18:10 1983424]

R3 MTSBDA;TechniSat Mantis BDA Driver;c:\windows\system32\drivers\MtsBda.sys [16.08.2009 18:00 253968]

R3 MtsHID;TechniSat Mantis BDA HID Driver;c:\windows\system32\drivers\MtsHID.sys [16.08.2009 18:02 23568]

S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [12.10.2009 21:24 7408]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16.08.2009 19:19 721904]

.

.

------- Zusätzlicher Suchlauf -------

.

Trusted Zone: corel.com

Trusted Zone: corel.com\www

Trusted Zone: intervideo.com

Trusted Zone: intervideo.com\www

TCP: {EF68116D-EB37-463C-95E7-57350A341398} = 192.168.0.1

DPF: {72376E32-8AF2-473F-BE32-E5D0F39C865D} - hxxp://www.cyberlink.com/prog/aacs/UpdateAdvisor.cab

FF - ProfilePath - c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Mozilla\Firefox\Profiles\irjily61.default\

FF - prefs.js: browser.startup.homepage - about:blank

FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

HKLM-Run-WinampAgent - c:\programme\Winamp\winampa.exe

HKLM-Run-Cmaudio8788 - cmicnfgp.cpl

MSConfigStartUp-AnyDVD - c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe

MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir Desktop\avgnt.exe

MSConfigStartUp-DAEMON Tools Lite - c:\programme\DAEMON Tools Lite\daemon.exe
 
 
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-08-05 12:40

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]

"ImagePath"="\??\c:\programme\CyberLink\PowerDVD\000.fcl"
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]

"ImagePath"="\??\c:\programme\CyberLink\PowerDVD8\000.fcl"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(720)

c:\programme\SUPERAntiSpyware\SASWINLO.dll

c:\windows\system32\Ati2evxx.dll

c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll

c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
 

- - - - - - - > 'explorer.exe'(3172)

c:\programme\Logitech\SetPoint\lgscroll.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\Ati2evxx.exe

c:\windows\system32\Ati2evxx.exe

c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe

c:\programme\Internet Explorer\IEXPLORE.EXE

c:\programme\CDBurnerXP\NMSAccessU.exe

c:\programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe

c:\programme\CyberLink\Shared files\RichVideo.exe

c:\windows\system32\locator.exe

c:\programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe

c:\programme\Microsoft SQL Server\90\Shared\sqlwriter.exe

c:\windows\system32\wscntfy.exe

c:\programme\ASUS Xonar DX Audio\Customapp\Program\ASUSAUDIOCENTER.EXE

c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE

c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2010-08-05  12:43:33 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2010-08-05 10:43
 

Vor Suchlauf: 36 Verzeichnis(se), 12.574.765.056 Bytes frei

Nach Suchlauf: 39 Verzeichnis(se), 12.565.692.416 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
 

- - End Of File - - 8591452FA6BD5C2C113D0DB7CD64BB51

Ich bitte dich folgendes nochmal zu lesen !!!

Zitat:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen

Code:

c:\windows\ExplorerSrv.exe

c:\windows\system32\rundll32Srv.exe

Also gehe wie hier beschrieben vor:

Öffne diese Webseite: virustotal
Klicke auf "Durchsuchen"
Suche die Datei auf deinem Rechner--> Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
"Senden der Datei"
Warte, bis der Scandurchlauf aller Virenscanner beendet ist
Auf "Compact" klicken (Links oben zu finden)
Ein neuer Tab dürfte sich öffnen.
Den Inhalt komplett kopieren und hier einfügen

Sollte die Datei als schädlich erkannt werden bitte noch nicht entfernen

Habe beide Dateien gescannt. Hier die Ergebnisse:
ExplorerSrv.exe

Datei ExplorerSrv.exe empfangen 2010.08.05 14:44:46 (UTC)
Antivirus;Version;letzte aktualisierung;Ergebnis
AhnLab-V3;2010.08.05.03;2010.08.05;Packed/Win32.Krap
AntiVir;8.2.4.32;2010.08.05;TR/Agent.HM.838
Antiy-AVL;2.0.3.7;2010.08.03;-
Authentium;5.2.0.5;2010.08.05;-
Avast;4.8.1351.0;2010.08.05;Win32:Rootkit-gen
Avast5;5.0.332.0;2010.08.05;Win32:Rootkit-gen
AVG;9.0.0.851;2010.08.05;SHeur3.AQUM
BitDefender;7.2;2010.08.05;Gen:Variant.Zbot.13
CAT-QuickHeal;11.00;2010.08.05;-
ClamAV;0.96.0.3-git;2010.08.05;-
Comodo;5654;2010.08.05;Heur.Suspicious
DrWeb;5.0.2.03300;2010.08.05;Trojan.Packed.20343
Emsisoft;5.0.0.36;2010.08.05;Trojan-PWS.Zbot!IK
eSafe;7.0.17.0;2010.08.05;-
eTrust-Vet;36.1.7768;2010.08.05;-
F-Prot;4.6.1.107;2010.08.05;W32/Zbot.AM.gen!Eldorado
F-Secure;9.0.15370.0;2010.08.05;Gen:Variant.Zbot.13
Fortinet;4.1.143.0;2010.08.05;-
GData;21;2010.08.05;Gen:Variant.Zbot.13
Ikarus;T3.1.1.84.0;2010.08.05;Trojan-PWS.Zbot
Jiangmin;13.0.900;2010.08.03;-
Kaspersky;7.0.0.125;2010.08.05;Packed.Win32.Krap.hm
McAfee;5.400.0.1158;2010.08.05;-
McAfee-GW-Edition;2010.1;2010.08.05;-
Microsoft;1.6004;2010.08.05;Trojan:Win32/Ramnit.A
NOD32;5343;2010.08.05;a variant of Win32/Kryptik.FUC
Norman;6.05.11;2010.08.05;-
nProtect;2010-08-05.01;2010.08.05;Gen:Variant.Zbot.13
Panda;10.0.2.7;2010.08.05;Suspicious file
PCTools;7.0.3.5;2010.08.04;-
Prevx;3.0;2010.08.05;-
Rising;22.59.03.04;2010.08.05;-
Sophos;4.56.0;2010.08.05;Mal/Zbot-U
Sunbelt;6688;2010.08.05;Trojan.Win32.Generic!BT
SUPERAntiSpyware;4.40.0.1006;2010.08.05;-
Symantec;20101.1.1.7;2010.08.05;-
TheHacker;6.5.2.1.332;2010.08.05;-
TrendMicro;9.120.0.1004;2010.08.05;-
TrendMicro-HouseCall;9.120.0.1004;2010.08.05;-
VBA32;3.12.12.8;2010.08.04;-
ViRobot;2010.8.4.3971;2010.08.05;-
VirusBuster;5.0.27.0;2010.08.05;-

weitere Informationen
File size: 59392 bytes
MD5...: 409018c17f571dc547a9aa36ed6d7002
SHA1..: 2ca8e7e9434872c181e099a6db66635509e3ee96
SHA256: d106fea3c16b93e68996e32d7dfb14332eff9da211af1840f9cddf5e00da8d0c
ssdeep: 1536:mUJ6qp2C7R1vCcUJi066T1ARPzMCG5Sey+rFLoNI:17jKFAbMdae5oK 
PEiD..: -
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x2bb60 timedatestamp.....: 0x45161d74 (Sun Sep 24 05:53:56 2006) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x1d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x1e000 0xe000 0xde00 7.95 cfdc7eefa18b830ca6b4d63c7f5db861 .rsrc 0x2c000 0x1000 0x600 4.25 7fa879342a7de624e55c6dbb57205ea0 ( 2 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess > USER32.DLL: GetMenu ( 0 exports ) 
RDS...: NSRL Reference Data Set -
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
packers (F-Prot): UPX
sigcheck: publisher....: SOFTWIN S.R.L. copyright....: 4170-9033 product......: _______ description..: BitDefender Management Console original name: gmj.exe internal name: ____ file version.: 83.126.104.90 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned 

rundll32Srv.exe

Datei rundll32Srv.exe empfangen 2010.08.05 14:49:41 (UTC)
Antivirus;Version;letzte aktualisierung;Ergebnis
AhnLab-V3;2010.08.05.03;2010.08.05;Packed/Win32.Krap
AntiVir;8.2.4.32;2010.08.05;TR/Agent.HM.838
Antiy-AVL;2.0.3.7;2010.08.03;-
Authentium;5.2.0.5;2010.08.05;-
Avast;4.8.1351.0;2010.08.05;Win32:Rootkit-gen
Avast5;5.0.332.0;2010.08.05;Win32:Rootkit-gen
AVG;9.0.0.851;2010.08.05;SHeur3.AQUM
BitDefender;7.2;2010.08.05;Gen:Variant.Zbot.13
CAT-QuickHeal;11.00;2010.08.05;-
ClamAV;0.96.0.3-git;2010.08.05;-
Comodo;5654;2010.08.05;Heur.Suspicious
DrWeb;5.0.2.03300;2010.08.05;Trojan.Packed.20343
Emsisoft;5.0.0.36;2010.08.05;Trojan-PWS.Zbot!IK
eSafe;7.0.17.0;2010.08.05;-
eTrust-Vet;36.1.7768;2010.08.05;-
F-Prot;4.6.1.107;2010.08.05;W32/Zbot.AM.gen!Eldorado
F-Secure;9.0.15370.0;2010.08.05;Gen:Variant.Zbot.13
Fortinet;4.1.143.0;2010.08.05;-
GData;21;2010.08.05;Gen:Variant.Zbot.13
Ikarus;T3.1.1.84.0;2010.08.05;Trojan-PWS.Zbot
Jiangmin;13.0.900;2010.08.03;-
Kaspersky;7.0.0.125;2010.08.05;Packed.Win32.Krap.hm
McAfee;5.400.0.1158;2010.08.05;-
McAfee-GW-Edition;2010.1;2010.08.05;-
Microsoft;1.6004;2010.08.05;Trojan:Win32/Ramnit.A
NOD32;5343;2010.08.05;a variant of Win32/Kryptik.FUC
Norman;6.05.11;2010.08.05;-
nProtect;2010-08-05.01;2010.08.05;Gen:Variant.Zbot.13
Panda;10.0.2.7;2010.08.05;Suspicious file
PCTools;7.0.3.5;2010.08.04;-
Prevx;3.0;2010.08.05;-
Rising;22.59.03.04;2010.08.05;-
Sophos;4.56.0;2010.08.05;Mal/Zbot-U
Sunbelt;6688;2010.08.05;Trojan.Win32.Generic!BT
SUPERAntiSpyware;4.40.0.1006;2010.08.05;-
Symantec;20101.1.1.7;2010.08.05;-
TheHacker;6.5.2.1.332;2010.08.05;-
TrendMicro;9.120.0.1004;2010.08.05;-
TrendMicro-HouseCall;9.120.0.1004;2010.08.05;-
VBA32;3.12.12.8;2010.08.04;-
ViRobot;2010.8.4.3971;2010.08.05;-
VirusBuster;5.0.27.0;2010.08.05;-

weitere Informationen
File size: 59392 bytes
MD5...: 409018c17f571dc547a9aa36ed6d7002
SHA1..: 2ca8e7e9434872c181e099a6db66635509e3ee96
SHA256: d106fea3c16b93e68996e32d7dfb14332eff9da211af1840f9cddf5e00da8d0c
ssdeep: 1536:mUJ6qp2C7R1vCcUJi066T1ARPzMCG5Sey+rFLoNI:17jKFAbMdae5oK 
PEiD..: -
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x2bb60 timedatestamp.....: 0x45161d74 (Sun Sep 24 05:53:56 2006) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x1d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x1e000 0xe000 0xde00 7.95 cfdc7eefa18b830ca6b4d63c7f5db861 .rsrc 0x2c000 0x1000 0x600 4.25 7fa879342a7de624e55c6dbb57205ea0 ( 2 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess > USER32.DLL: GetMenu ( 0 exports ) 
RDS...: NSRL Reference Data Set -
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
packers (F-Prot): UPX
sigcheck: publisher....: SOFTWIN S.R.L. copyright....: 4170-9033 product......: _______ description..: BitDefender Management Console original name: gmj.exe internal name: ____ file version.: 83.126.104.90 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

http://www.trojaner-board.de/89053-avg-9-finden-sheuer-aqum-dropper-und-sheur-aqra.html#post550415
 

KillAll::

Collect::

c:\windows\ExplorerSrv.exe

c:\windows\system32\rundll32Srv.exe
 

Rootkit::

c:\programme\Microsoft\DesktopLayer.exe
 

Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="c:\windows\system32\userinit.exe,"

Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:

Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!
Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.
Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
Mache nichts am PC solange ComboFix läuft.

http://i266.photobucket.com/albums/i.../CFScriptB.gif

In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

Soll ich die http Adresse die in der Codebox steht, mit in die Text Datei schreiben?

Zitat:

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Ist daran irgendwas unverständlich ?

Habe die Text Datei nach Anweisung erstellt. Habe die Combofix.exe heruntergeladen und die erstellte Txt Datei in die Combofix exe hinein gezogen. Combofix startet, bricht dann aber mit der Meldung ab das es kompromittiert ist und löscht sich dann selbstständig

Okay, was spricht gegen ein neu aufsetzen ?

Du hast einen FileInfector am System. Dieser infiziert anscheinend alle .exe Dateien.
Ich kann versuchen, dies wieder gerade zu biegen, jedoch wenn ich nur eine .exe übersehe, geht der Spass von vorne los. Ein sehr lange Prozedur mit ungewissen Ausgang. Deine Entscheidung

Ich würde eine komplette Neuinstallation nur als allerletzten Ausweg machen wollen.
Ich bin dafür den Weg ohne Neuinstallation zu gehen.

Okay, deine Entscheidung.
Starte kein Programm. Keine .exe nichts, ausser meine Programme,bis ich sage ok

Schritt 1

Speichere folgendes als Kill.txt unter C:\WIndows (Das ist wichtig )

Code:

set allowallpaths = true

cd "%systemdrive%"

set var="%userprofile%\desktop\infected"

md "%userprofile%\desktop\infected"

copy "c:\programme\Microsoft\DesktopLayer.exe" "%var%\desktoplayer.exe.vir"

copy "c:\windows\system32\rundll32Srv.exe" "%var%\rundll32Srv.exe.vir"

copy "c:\windows\ExplorerSrv.exe" "%var%\ExplorerSrv.exe.vir"

del c:\programme\Microsoft\DesktopLayer.exe

del c:\windows\system32\rundll32Srv.exe

del c:\windows\ExplorerSrv.exe

exit

Schritt 2

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com

und speichere es erneut als COmbo.com auf dem Desktop (nicht woanders hin, das ist wichtig)!

Schritt 3

Drucke Dir folgendes wenn möglich aus. Du wirst jetzt keinen Zugriff auf das Internet haben.

Windows mit Wiederherstellungskonsole starten

Starte den Rechner neu auf. Du wirst nun im Bootmenü
Wiederherstellungskonsole
lesen. Diese auswählen

Danach findest Du ein schwarzes Fenster vor wo
C:\windows:> steht.

Hier gibst du batch kill.txt ein und drückst enter. Solltest Du gefragt werden ob Du das wirklich löschen willst, bestätige mit Ja

Wenn das Skript erledigt ist, wird der Rechner neu starten. Drücke hier mehrmals die F8 Taste um in den abgesicherten Modus zu kommen.

Starte nun die Combo.com. Lass es in Ruhe laufen.

Poste mir diese Logfile

Hallo, habe die kill.txt in C:\Windows erstellt.
Habe sie laut Anweisung in der Wiederherstellungskonsole ausgeführt.

Allerdings bekomme ich folgende Meldungen:

Zuerst:
Die angegebene Datei oder das Verzeichnis wurde nicht gefunden.
dann:
Der angegebene Parameter ist ungültig. geben sie /? für weitere Hilfe ein.
Dann kam noch
Keine passende datei gefunden.

Habe Combo.com daraufhin nicht ausgeführt.