hartnäckiger unbekannter Plagegeist... "Windows Security Alert"

Zuljin · 30.10.2007, 14:40

Hallo,
nach einiger Suche hier im Bord, (die mir sonst schon öfter geholfen hat; großes Dankeschön an dieser Stelle) bin ich zur Zeit etwas Ratlos:

Problem:
ich erhalte ca. alle 5 min ein Popup:
"Windows Security Alert

Your computer is making unauthorized copies of your system and Internet files. Run full scan now to prevent any unathorised access to your files! Click YES to download Spyware remover..."

Desweiteren hat mich dieser Plagegeist, den ich heute bemerkt hab, aus der Systemsteuerung, der Regedit, und dem Task-Manager ausgesperrt...
Auf den Taskmanager schaff ich es noch zuzugreifen, indem unter
"Ausführen - gpedit.msc - Benutzerkonfiguration - Administrative Vorlagen - System - Alt+Strg+Enf-Optionen -> Taskmanager Entfernen"
in den eigenschaften Aktiviere und wieder deaktiviere.
Allerdings Funktioniert das ganze nicht im Abgesicherten Modus.

Ich habe in einem Posting hier im Bord jemanden mit ähnlichem Problem gefunden, und ihm wurde geraten das Programm SmitFraudFix im Abgesichterten modus zu benutzen.

Ergebniss bei mir war allerdings das er sich beim Registry Cleaning aufgehangen hat, da die Registry durch den Administrator angeblich gesperrt wurde.
(Fehler oben schon angemerkt)

Trotzdem ist ein halbes SmitFraudFix log dabei heraus gekommen, mit dem hier vieleicht jemand etwas anfangen kann.

Auffällig geworden sind bei meiner Sucherei folgende Dateien:
C:\Windows\System32\winter.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Autos.exe
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Infos.exe

Hatte gehofft die entsprechenden Dateien bei w*w.virustotal.com prüfen zu können, damit ich wenigstens einen Namen für das "Kind" habe, aber leider kann ich die Seite nicht erreichen, wie es scheint.

Ich wär euch wirklich dankbar für die hilfe.

Zuljin

/Edit:
Huch, natürlich... *räusper*
Betriebssystem: Windows XP Proffessional mit Service pack 2
Hab den Spybot - Search & Destroy und AVG als Virenschutz
und Comodo Firewall logischerweise als Firewall
=)

--------------------------------------------------------------------------

Aktuelles HijackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 14:04:26, on 30.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
E:\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Fast.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\proper.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
E:\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Comodo\Firewall\cpf.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijackthis\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\proper.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {D27987B8-7244-4DE0-AE10-39B826B492F1} - C:\WINDOWS\system32\bronto.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [MemoryManager] rundll32.exe "C:\WINDOWS\system32\gvexbghr.dll",forkonce
O4 - HKLM\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] E:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - Startup: infos.exe
O4 - Global Startup: autos.exe
O4 - Global Startup: COMODO Firewall Pro.lnk = C:\Programme\Comodo\Firewall\cpf.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{40CEB28F-A442-4B2B-8DDC-27CB5A793A96}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\Nero 7\InCD\InCDsrv.exe
O23 - Service: NBService - Nero AG - E:\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

--------------------------------------------------------------------------

Halbes SmitFraudFix log:

SmitFraudFix v2.244

Scan done at 13:32:38,56, 30.10.2007
Run from C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 w*w.avp.ch
192.168.200.3 w*w.avp.com
192.168.200.3 w*w.avp.ru
192.168.200.3 w*w.awaps.net
192.168.200.3 w*w.ca.com
192.168.200.3 w*w.f-secure.com
192.168.200.3 w*w.fastclick.net
192.168.200.3 w*w.grisoft.com
192.168.200.3 w*w.kaspersky-labs.com
192.168.200.3 w*w.kaspersky.com
192.168.200.3 w*w.kaspersky.ru
192.168.200.3 w*w.mcafee.com
192.168.200.3 w*w.my-etrust.com
192.168.200.3 w*w.nai.com
192.168.200.3 w*w.networkassociates.com
192.168.200.3 w*w.sophos.com
192.168.200.3 w*w.symantec.com
192.168.200.3 w*w.symantec.com
192.168.200.3 w*w.trendmicro.com
192.168.200.3 w*w.viruslist.com
192.168.200.3 w*w.viruslist.ru
192.168.200.3 w*w.virustotal.com
192.168.200.3 w*w3.ca.com

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{40CEB28F-A442-4B2B-8DDC-27CB5A793A96}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{40CEB28F-A442-4B2B-8DDC-27CB5A793A96}: NameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{40CEB28F-A442-4B2B-8DDC-27CB5A793A96}: NameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

cosinus · 30.10.2007, 20:38

Tach!

Wechsel in den abgesicherten Modus von Windows und fixe mit HijackThis diese Einträge:

Code:

ATTFilter

O2 - BHO: (no name) - {D27987B8-7244-4DE0-AE10-39B826B492F1} - C:\WINDOWS\system32\bronto.dll (file missing)
O4 - HKLM\..\Run: [MemoryManager] rundll32.exe "C:\WINDOWS\system32\gvexbghr.dll",forkonce
O4 - HKLM\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - HKCU\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - Startup: infos.exe
O4 - Global Startup: autos.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Versuch danach auch gleich mal diese Dateien (sofern auffindbar) in ein anderes Verzeichnis zu verschieben, z.B. c:\backup

Code:

ATTFilter

C:\WINDOWS\system32\bronto.dll
C:\WINDOWS\system32\gvexbghr.dll
C:\WINDOWS\system32\winter.exe
infos.exe
autos.exe

Benenn diese Dateien um, indem du hinter der Dateiendung ein .vir anhängst, sodass diese Dateien dann z.B. so heißen: bronto.dll.vir

Öffne dann mal die Datei c:\windows\system32\drivers\etc\hosts mit dem Editor. Editiere den Inhalt so, dass nur noch das hier in der hosts-Datei steht.

Code:

ATTFilter

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97     rhino.acme.com          # Quellserver
#       38.25.63.10     x.acme.com              # x-Clienthost

127.0.0.1       localhost

Abspeichern nicht vergessen!

Starte danach wieder neu im normalen Modus und erstell ein neues Hijackthis-Logfile und poste es.
Die verschobenen Dateien, die nun in c:\backup liegen, wertest du nacheinander bei Virustotal aus und postest die Ergebnisse.

Dann sehen wir weiter.

Zuljin · 30.10.2007, 22:06

Ersteinmal vielen dank das du dich meiner annimmst.

Leider haben die änderungen die ich im Abgesicherten Modus machen sollte keinen effekt gehabt.
Alle Änderungen sind nach dem neustart wieder so wie sie vor der änderung waren.

Als gespeicherte Dateien in "C:\backup" habe ich
Winter.exe.vir
Autos.exe.vir
Infos.exe.vir

Ich Editiere hier, sobald ich die drei bei Virustotal hab durchlaufen lassen und lasse dich und alle anderen interessierten das ergibniss wissen.

nochmals danke

/edit:
Virustotal Ergebnisse:

Datei winter.exe.vir empfangen 2007.10.30 22:08:55 (CET)
Status: Beendet

Ergebnis: 11/31 (35.49%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.31.0 2007.10.30 -
AntiVir 7.6.0.30 2007.10.30 TR/Crypt.ULPM.Gen
Authentium 4.93.8 2007.10.30 Possibly a new variant of W32/Fathom.3-based!Maximus
Avast 4.7.1074.0 2007.10.30 -
AVG 7.5.0.503 2007.10.30 -
BitDefender 7.2 2007.10.30 -
CAT-QuickHeal 9.00 2007.10.30 -
ClamAV 0.91.2 2007.10.30 -
DrWeb 4.44.0.09170 2007.10.30 -
eSafe 7.0.15.0 2007.10.28 suspicious Trojan/Worm
eTrust-Vet 31.2.5253 2007.10.30 -
Ewido 4.0 2007.10.30 -
FileAdvisor 1 2007.10.30 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.30 W32/Fathom.3-based!Maximus
F-Secure 6.70.13030.0 2007.10.30 -
Ikarus T3.1.1.12 2007.10.30 -
Kaspersky 7.0.0.125 2007.10.30 Heur.Trojan.Generic
McAfee 5152 2007.10.30 New Malware.bc
Microsoft 1.2908 2007.10.30 Trojan:Win32/SystemHijack.gen
NOD32v2 2627 2007.10.30 probably unknown NewHeur_PE virus
Norman 5.80.02 2007.10.30 -
Panda 9.0.0.4 2007.10.30 Suspicious file
Rising 19.47.12.00 2007.10.30 -
Sophos 4.23.0 2007.10.30 Mal/HckPk-A
Sunbelt 2.2.907.0 2007.10.29 -
Symantec 10 2007.10.30 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.28 -
VirusBuster 4.3.26:9 2007.10.30 -
Webwasher-Gateway 6.6.1 2007.10.30 Trojan.Crypt.ULPM.Gen

Datei infos.exe.vir empfangen 2007.10.30 22:23:32 (CET)
Status: Beendet

Ergebnis: 11/32 (34.38%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.31.0 2007.10.30 -
AntiVir 7.6.0.30 2007.10.30 TR/Crypt.ULPM.Gen
Authentium 4.93.8 2007.10.30 Possibly a new variant of W32/Fathom.3-based!Maximus
Avast 4.7.1074.0 2007.10.30 -
AVG 7.5.0.503 2007.10.30 -
BitDefender 7.2 2007.10.30 -
CAT-QuickHeal 9.00 2007.10.30 -
ClamAV 0.91.2 2007.10.30 -
DrWeb 4.44.0.09170 2007.10.30 -
eSafe 7.0.15.0 2007.10.28 suspicious Trojan/Worm
eTrust-Vet 31.2.5253 2007.10.30 -
Ewido 4.0 2007.10.30 -
FileAdvisor 1 2007.10.30 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.30 W32/Fathom.3-based!Maximus
F-Secure 6.70.13030.0 2007.10.30 -
Ikarus T3.1.1.12 2007.10.30 -
Kaspersky 7.0.0.125 2007.10.30 Heur.Trojan.Generic
McAfee 5152 2007.10.30 New Malware.bc
Microsoft 1.2908 2007.10.30 Trojan:Win32/SystemHijack.gen
NOD32v2 2627 2007.10.30 probably unknown NewHeur_PE virus
Norman 5.80.02 2007.10.30 -
Panda 9.0.0.4 2007.10.30 Suspicious file
Prevx1 V2 2007.10.30 -
Rising 19.47.12.00 2007.10.30 -
Sophos 4.23.0 2007.10.30 Mal/HckPk-A
Sunbelt 2.2.907.0 2007.10.29 -
Symantec 10 2007.10.30 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.28 -
VirusBuster 4.3.26:9 2007.10.30 -
Webwasher-Gateway 6.6.1 2007.10.30 Trojan.Crypt.ULPM.Gen

Datei autos.exe.vir empfangen 2007.10.30 22:31:43 (CET)
Status: Beendet

Ergebnis: 11/32 (34.38%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.31.0 2007.10.30 -
AntiVir 7.6.0.30 2007.10.30 TR/Crypt.ULPM.Gen
Authentium 4.93.8 2007.10.30 Possibly a new variant of W32/Fathom.3-based!Maximus
Avast 4.7.1074.0 2007.10.30 -
AVG 7.5.0.503 2007.10.30 -
BitDefender 7.2 2007.10.30 -
CAT-QuickHeal 9.00 2007.10.30 -
ClamAV 0.91.2 2007.10.30 -
DrWeb 4.44.0.09170 2007.10.30 -
eSafe 7.0.15.0 2007.10.28 suspicious Trojan/Worm
eTrust-Vet 31.2.5253 2007.10.30 -
Ewido 4.0 2007.10.30 -
FileAdvisor 1 2007.10.30 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.30 W32/Fathom.3-based!Maximus
F-Secure 6.70.13030.0 2007.10.30 -
Ikarus T3.1.1.12 2007.10.30 -
Kaspersky 7.0.0.125 2007.10.30 Heur.Trojan.Generic
McAfee 5152 2007.10.30 New Malware.bc
Microsoft 1.2908 2007.10.30 Trojan:Win32/SystemHijack.gen
NOD32v2 2627 2007.10.30 probably unknown NewHeur_PE virus
Norman 5.80.02 2007.10.30 -
Panda 9.0.0.4 2007.10.30 Suspicious file
Prevx1 V2 2007.10.30 -
Rising 19.47.12.00 2007.10.30 -
Sophos 4.23.0 2007.10.30 Mal/HckPk-A
Sunbelt 2.2.907.0 2007.10.29 -
Symantec 10 2007.10.30 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.28 -
VirusBuster 4.3.26:9 2007.10.30 -
Webwasher-Gateway 6.6.1 2007.10.30 Trojan.Crypt.ULPM.Gen

--------------------------------------------------------------------------
HijakThis Log - nach dem ersten versuch im Abgesichteren Modus und dem darauf folgenden normalen Neustart:

Logfile of HijackThis v1.99.1
Scan saved at 21:53:54, on 30.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
E:\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Fast.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\proper.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
E:\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Comodo\Firewall\cpf.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hijackthis\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\proper.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {D27987B8-7244-4DE0-AE10-39B826B492F1} - C:\WINDOWS\system32\bronto.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - HKLM\..\Run: [MemoryManager] rundll32.exe "C:\WINDOWS\system32\gvexbghr.dll",forkonce
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] E:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - Startup: infos.exe
O4 - Global Startup: autos.exe
O4 - Global Startup: COMODO Firewall Pro.lnk = C:\Programme\Comodo\Firewall\cpf.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{40CEB28F-A442-4B2B-8DDC-27CB5A793A96}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\Nero 7\InCD\InCDsrv.exe
O23 - Service: NBService - Nero AG - E:\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

cosinus · 31.10.2007, 01:19

Zitat:

Leider haben die änderungen die ich im Abgesicherten Modus machen sollte keinen effekt gehabt.

Das hatte ich mir leider schon fast gedacht. Du hast wohl rel. hartnäckige Gesellen drauf, die noch nichtmal richtig erkannt werden. Also modifizierte oder komplett neue Malware. Ich kann dir die Entscheidung nicht abnehmen, das Risiko einer Bereinigung einzugehen oder sicher zu gehen und neu aufzusetzen. Ich würde zu letzterem tendieren, aber wir sollten vorher noch weiter analysieren.

Aber wie es aussieht kannst du mittlerweile schonmal wieder Virustotal und so erreichen.

Lösch mal die schädlichen Dateien auf diesem Weg:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code:

ATTFilter

files to delete:
C:\WINDOWS\system32\proper.exe
C:\WINDOWS\system32\bronto.dll
C:\WINDOWS\system32\winter.exe
C:\WINDOWS\system32\gvexbghr.dll
C:\WINDOWS\system32\infos.exe
C:\WINDOWS\system32\autos.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Die erwähnten Einträge in Hijackthis

Code:

ATTFilter

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\proper.exe
O2 - BHO: (no name) - {D27987B8-7244-4DE0-AE10-39B826B492F1} - C:\WINDOWS\system32\bronto.dll (file missing)
O4 - HKLM\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - HKLM\..\Run: [MemoryManager] rundll32.exe "C:\WINDOWS\system32\gvexbghr.dll",forkonce
O4 - HKCU\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - Startup: infos.exe
O4 - Global Startup: autos.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

erneut versuchen zu fixen.

Erstelle danach mit:

- eScan
- Silentrunners
- combofix

weitere Logfiles zwecks Analyse. Und mach bitte ein Filelist:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Zuljin · 31.10.2007, 11:27

Nach dem ich alles was auf der Liste von dir angegeben war ausgeführt hatte, ist der effekt des Schädlings verschwunden. Sowohl Systemsteuerung als auch Regedit und der Task-Manager können wieder geöffnet werden. Die immer wiederkehrende "Alert" Meldung ist ebenfalls verschwuden.

Ich werd jetzt noch ein paar mal meinen rechner neu starten, um sicher zu gehen das das ganze nicht nur ein vorübergehender erfolg ist, aber ich möchte dir cosinus nocheinmal ganz herzlich für deine Hilfe danken.

Ihr seid wirklich die Retter aller geplagten User hier im Netz. Ich werd in meinen Comunitys in jedem Fall nur positiv über euch sprechen...
Vielen dank...

Zuljin

(ok... ich sehs schon kommen... jetzt hab ich gesagt alles ist ok, und 5 min später funktioniert wieder nix mehr...

)

cosinus · 31.10.2007, 21:04

Das ist ja schonmal nicht schlecht, wenn die offensichtlichen Auswirkungen des Schädlings erstmal weg sind. Poste aber auch wie schon erwähnt noch für tiefere Analysen die Logfiles, um evtl. verbliebene Reste aufzuspüren.

Zuljin · 01.11.2007, 08:53

Gut, ich schätze du bist der experte...

zuanfangs der Avenger:
Erst lief er überhaubt nicht ganz durch, und erstellte auch kein Logfile. Als ich nochmal in den abgesicherten Modus ging um das ganze zu wiederholen passierte auch nichts. Schließlich hab wollte ich den Avenger nochmal durchlaufen lassen, doch er gab mir eine fehlermelung das er kein Zip file erstellen könne.
--------------------------------------------------------------------------
hier das recht magere Log:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0

--------------------------------------------------------------------------
nachdem ich dann mit HijackThis die entsprechenden einträge entfernt hab, wobei der eintrag

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\proper.exe

mir beim erstenmal nicht aufgefallen ist, hab ich einen Escan durchlaufen lassen. Hier das Log:
--------------------------------------------------------------------------
Escan Log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.1
Sprache: German

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with gator Spyware/Adware (gstartup.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\skuns.dat infiziert von "Backdoor.Win32.Small.cbo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\neu\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55\265b8ef7-72010199/BaaaaBaa.class infiziert von "Exploit.Java.Gimsh.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\drivers\etc\hosts infiziert von "Trojan.Win32.Qhost.mg" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\skuns.dat infiziert von "Backdoor.Win32.Small.cbo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\neu\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\neu\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\neu\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\neu\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\neu\Desktop\desktop\acn\gstartup.lnk
Offending file found: C:\Dokumente und Einstellungen\neu\Desktop\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\neu\Desktop\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\neu\Desktop\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\neu\Desktop\smitfraudfix\swsc.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCR\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ad.doubleclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ad.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ads.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ar.atwola.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.ch
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 avp.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 awaps.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 banner.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 banners.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ca.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 click.atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 clicks.atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 customer.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 dispatch.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 download.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 download.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads-us3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 downloads4.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 engine.awaps.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 f-secure.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.avp.ch
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.downloads3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.f-secure.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.kasperskylab.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ftp.sophos.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 go.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 ids.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 kaspersky.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 liveupdate.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 liveupdate.symantecliveupdate.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 mast.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 media.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 msdn.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 my-etrust.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 networkassociates.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 norton.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 office.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 pandasoftware.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 phx.corporate-ir.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 rads.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 secure.nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 securityresponse.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 service1.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 sophos.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 spd.atdmt.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 support.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 trendmicro.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 update.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates1.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates2.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates3.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates4.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 updates5.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 us.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 vil.nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 viruslist.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virusscan.jotti.org
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 virustotal.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 windowsupdate.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.ch
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.avp.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.awaps.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.ca.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.f-secure.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.fastclick.net
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.grisoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky-labs.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.kaspersky.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.mcafee.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.microsoft.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.my-etrust.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.nai.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.networkassociates.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.pandasoftware.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.sophos.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.symantec.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.trendmicro.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.viruslist.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.viruslist.ru
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www.virustotal.com
C:\WINDOWS\System32\drivers\etc\hosts :192.168.200.3 www3.ca.com
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

--------------------------------------------------------------------------

Weiter folgten Silent runner und Combofix:

Zuljin · 01.11.2007, 08:54

--------------------------------------------------------------------------
Silent Runner log:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"LogitechSoftwareUpdate" = "E:\Programme\Logitech\Video\ManifestEngine.exe boot" ["Logitech Inc."]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"" ["Nero AG"]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"]
"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]
"ATICCC" = ""C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"" [null data]
"WinampAgent" = "E:\Winamp\winampa.exe" [null data]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"DAEMON Tools-1033" = ""C:\Programme\D-Tools\daemon.exe" -lang 1033" ["DAEMON.S HOME"]
"SSBkgdUpdate" = "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot" ["Scansoft, Inc."]
"ISUSPM Startup" = "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup" ["InstallShield Software Corporation"]
"ISUSScheduler" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start" ["Macrovision Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{22BF413B-C6D2-4d91-82A9-A0F997BA588C}\(Default) = "Skype add-on (mastermind)"
-> {HKLM...CLSID} = "Skype add-on (mastermind)"
\InProcServer32\(Default) = "C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll" ["Skype Technologies S.A."]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Germany GmbH"]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {HKLM...CLSID} = "AVG7 Find Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{709C6E11-538F-4759-86AC-6ACB302AA0DE}" = "Desktop Manager"
-> {HKLM...CLSID} = "Desktop Manager"
\InProcServer32\(Default) = "C:\WINDOWS\system32\msvdm.dll" [null data]
"{76EDEF4C-1313-11d3-8705-00C04FB16A21}" = "Audio Player backend"
-> {HKLM...CLSID} = "Shell Player"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shplayer.dll" [MS]
"{1530F7EE-5128-43BD-9977-84A4B0FAD7DF}" = "PhotoToys"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\phototoys.dll" [MS]
"{65F411C7-F4EE-11d2-9B7D-00C04FB16A21}" = "Audio Player"
-> {HKLM...CLSID} = "Audio Player"
\InProcServer32\(Default) = "C:\WINDOWS\system32\shplayer.dll" [MS]
"{efb97cb8-a4a4-4357-a261-002ffaed0267}" = "CD Slideshow Powertoy"
-> {HKLM...CLSID} = "CD Burn Slideshow Hook"
\InProcServer32\(Default) = "C:\WINDOWS\system32\slideshow.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "e:\Programme\OpenOffice.org1.1.5\program\shlxthdl.dll" ["Sun Microsystems, Inc."]
"{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}" = "Eigene Logitech-Bilder"
-> {HKLM...CLSID} = "Eigene Logitech-Bilder"
\InProcServer32\(Default) = "E:\Programme\Logitech\Video\Namespc2.dll" ["Logitech Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{CAE3251E-9B15-4810-B268-852AD9792A59}" = "InCDShellExt extension"
-> {HKLM...CLSID} = "InCDShellExt Class"
\InProcServer32\(Default) = "E:\Nero 7\InCD\InCDshx.dll" ["Nero AG"]
"{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2}" = "NeroCoverEd Live Icons"
-> {HKLM...CLSID} = "NeroCoverEdLiveIcons Class"
\InProcServer32\(Default) = "E:\Nero 7\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"]
"{B3D9AEDE-B2C3-406d-A254-6BE07767B08B}" = "InCDUdfPerm extension"
-> {HKLM...CLSID} = "InCDUdfPerm Class"
\InProcServer32\(Default) = "E:\Nero 7\InCD\InCDUP.dll" ["Nero AG"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
Cover Designer\(Default) = "{73FCA462-9BD5-4065-A73F-A8E5F6904EF7}"
-> {HKLM...CLSID} = "NeroCoverEdContextMenu Class"
\InProcServer32\(Default) = "E:\Nero 7\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
InCDShellExt\(Default) = "{CAE3251E-9B15-4810-B268-852AD9792A59}"
-> {HKLM...CLSID} = "InCDShellExt Class"
\InProcServer32\(Default) = "E:\Nero 7\InCD\InCDshx.dll" ["Nero AG"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
InCDShellExt\(Default) = "{CAE3251E-9B15-4810-B268-852AD9792A59}"
-> {HKLM...CLSID} = "InCDShellExt Class"
\InProcServer32\(Default) = "E:\Nero 7\InCD\InCDshx.dll" ["Nero AG"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
InCDShellExt\(Default) = "{CAE3251E-9B15-4810-B268-852AD9792A59}"
-> {HKLM...CLSID} = "InCDShellExt Class"
\InProcServer32\(Default) = "E:\Nero 7\InCD\InCDshx.dll" ["Nero AG"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"ForceClassicControlPanel" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\neu\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Startup items in "neu" & "All Users" startup folders:
-----------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"COMODO Firewall Pro" -> shortcut to: "C:\Programme\Comodo\Firewall\cpf.exe" ["COMODO"]

Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]
"XoftSpySE 2" -> launches: "C:\Programme\XoftSpySE\XoftSpy.exe ShowReminders" ["ParetoLogic"]
"XoftSpySE" -> launches: "C:\Programme\XoftSpySE\XoftSpy.exe -t" ["ParetoLogic"]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Germany GmbH"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Germany GmbH"]
"{F2CF5485-4E02-4F68-819C-B92DE9277049}"
-> {HKLM...CLSID} = "&Links"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [MS]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Germany GmbH"]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{0E921E80-267A-42AA-AEE4-60B9A1222A44}\
"ButtonText" = "Klicke hier um das Projekt xp-AntiSpy zu unterstützen"
"MenuText" = "Unterstützung für xp-AntiSpy"
"Exec" = "C:\Programme\xp-AntiSpy\sponsoring\sponsor.html" [null data]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{77BF5300-1474-4EC7-9980-D32B190E9B07}\
"ButtonText" = "Skype"
"CLSIDExtension" = "{77BF5300-1474-4EC7-9980-D32B190E9B07}"
-> {HKLM...CLSID} = "Skype add-on (button)"
\InProcServer32\(Default) = "C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll" ["Skype Technologies S.A."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 102 domain names to IP addresses,
102 of the IP addresses are *not* localhost!

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AVG E-mail Scanner, AVGEMS, "C:\PROGRA~1\Grisoft\AVG7\avgemc.exe" ["GRISOFT, s.r.o."]
AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe" ["GRISOFT, s.r.o."]
AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe" ["GRISOFT, s.r.o."]
Comodo Application Agent, CmdAgent, "C:\Programme\Comodo\Firewall\cmdagent.exe" ["COMODO"]
Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]
InCD Helper, InCDsrv, "E:\Nero 7\InCD\InCDsrv.exe" ["Nero AG"]
InteractiveLogon, InteractiveLogon, "C:\WINDOWS\system32\Fast.exe -service" [MS]
NMIndexingService, NMIndexingService, ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe"" ["Nero AG"]

---------- (launch time: 2007-10-31 10:11:17)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 54 seconds, including 18 seconds for message boxes)

Zuljin · 01.11.2007, 08:56

--------------------------------------------------------------------------
Combofix Log:

ComboFix 07-10-29.1** - neu 2007-10-31 10:20:05.2 - NTFSx86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.750 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-28 bis 2007-10-31 ))))))))))))))))))))))))))))))
.

2007-10-31 10:16 <DIR> d-------- C:\bases_x
2007-10-31 09:45 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-10-31 09:45 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-10-31 09:45 <DIR> d-a------ C:\WINDOWS\system32\systems.txt
2007-10-31 09:45 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-10-31 09:45 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-10-31 09:45 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-10-31 09:45 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-10-31 09:43 153,600 --a------ C:\WINDOWS\R.COM
2007-10-31 09:43 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-10-31 09:38 60,416 --a------ C:\WINDOWS\system32\drivers\prriejqf.sys
2007-10-31 09:38 60,416 --a------ C:\WINDOWS\system32\drivers\kpsnigcc.sys
2007-10-31 09:38 1,080 --a------ C:\xsgybofq.bat
2007-10-31 09:38 1,080 --a------ C:\uvwujotg.bat
2007-10-31 09:33 126,976 --a------ C:\zip.exe
2007-10-31 09:33 60,416 --a------ C:\WINDOWS\system32\drivers\wctyctaq.sys
2007-10-31 09:33 1,080 --a------ C:\lyoyburt.bat
2007-10-30 21:47 7,680 --a------ C:\WINDOWS\system32\winter.exe
2007-10-30 13:32 2,628 --a------ C:\WINDOWS\system32\tmp.reg
2007-10-30 11:30 <DIR> d-------- C:\WINDOWS\pss
2007-10-30 11:06 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-10-30 11:06 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2007-10-30 11:06 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-10-30 11:06 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-10-30 11:06 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-10-30 11:06 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-10-30 11:06 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-10-30 08:39 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-30 08:28 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2007-10-30 08:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2007-10-30 07:47 7,680 --a------ C:\WINDOWS\system32\proper.exe
2007-10-30 07:47 6,144 --a------ C:\WINDOWS\system32\skuns.dat
2007-10-19 13:39 1,875 --a------ C:\Dokumente und Einstellungen\neu\Anwendungsdaten\SAS7_000.DAT
2007-10-19 12:44 <DIR> d-------- C:\Dokumente und Einstellungen\neu\Anwendungsdaten\Nuance
2007-10-19 12:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Scansoft Shared
2007-10-19 12:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2007-10-19 12:33 <DIR> d-------- C:\WINDOWS\speech
2007-10-19 12:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nuance
2007-10-14 13:05 <DIR> d-------- C:\WINDOWS\RVMM
2007-09-26 11:32 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-09-17 19:23 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-09-17 19:23 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-09-17 19:22 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-09-17 19:22 739,840 --a------ C:\WINDOWS\system32\DivX.dll
2007-09-13 09:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DirectX
2007-09-12 00:14 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-09-08 15:09 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2007-09-08 15:08 <DIR> d-------- C:\Programme\Skype
2007-09-08 15:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-09-08 15:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-09-03 09:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\3DO Shared
2007-09-03 09:57 <DIR> d-------- C:\Programme\3DO
2007-09-03 09:56 306,688 --a------ C:\WINDOWS\IsUninst.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-31 07:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2007-10-30 20:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-10-30 12:17 --------- d-----w C:\Programme\Java
2007-10-30 08:26 --------- d-----w C:\Programme\Google
2007-10-30 06:46 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Azureus
2007-10-19 15:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-10-14 11:15 --------- d-----w C:\Programme\D-Tools
2007-10-14 04:57 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\AVG7
2007-09-26 10:06 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Ahead
2007-09-21 08:39 359,808 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS
2007-09-21 08:33 --------- d-----w C:\Programme\DivX
2007-08-31 19:25 --------- d-----w C:\Programme\MSXML 4.0
2007-08-31 08:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2007-08-31 08:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-08-31 08:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2007-08-31 07:14 532,480 ------w C:\WINDOWS\system32\imagx5.dll
2007-08-31 07:14 507,904 ------w C:\WINDOWS\system32\imagr5.dll
2007-08-31 07:14 35,328 ------w C:\WINDOWS\system32\picn20.dll
2007-08-31 07:14 275,312 ------w C:\WINDOWS\system32\ImagXpr5.dll
2007-08-31 07:14 155,648 ------w C:\WINDOWS\system32\NeroCheck.exe
2007-08-31 07:14 106,496 ------w C:\WINDOWS\system32\TwnLib20.dll
2007-08-31 07:11 283,648 ----a-w C:\WINDOWS\uninst.exe
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-21 00:26 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-08-21 00:26 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-08-15 22:33 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-08-15 22:33 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-08-15 22:33 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-08-15 22:33 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-08-15 22:33 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-08-15 22:33 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-08-15 22:33 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-08-15 22:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-08-15 22:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-08-15 22:31 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-08-15 22:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-08-15 22:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-08-15 22:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-08-15 22:30 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-07-09 13:11 584,192 ----a-w C:\WINDOWS\system32\rpcrt4.dll
.

((((((((((((((((((((((((((((( snapshot@2007-10-30_ 8.49.02.48 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-10-30 08:26:48 26,694 ----a-r C:\WINDOWS\Installer\{1E04F83B-2AB9-4301-9EF7-E86307F79C72}\ARPPRODUCTICON.exe
+ 2007-10-30 08:26:48 26,694 ----a-r C:\WINDOWS\Installer\{1E04F83B-2AB9-4301-9EF7-E86307F79C72}\googleearth.exe_407B9B5CDAC54F44A756B57CAB4E6A8B.exe
+ 2007-10-30 08:26:48 26,694 ----a-r C:\WINDOWS\Installer\{1E04F83B-2AB9-4301-9EF7-E86307F79C72}\googleearth.exe1_407B9B5CDAC54F44A756B57CAB4E6A8B.exe
+ 2007-10-30 08:26:48 65,536 ----a-r C:\WINDOWS\Installer\{1E04F83B-2AB9-4301-9EF7-E86307F79C72}\NewShortcut1_407B9B5CDAC54F44A756B57CAB4E6A8B.exe
+ 2007-10-30 08:26:48 65,536 ----a-r C:\WINDOWS\Installer\{1E04F83B-2AB9-4301-9EF7-E86307F79C72}\NewShortcut2_407B9B5CDAC54F44A756B57CAB4E6A8B.exe
+ 2007-10-30 08:26:48 26,694 ----a-r C:\WINDOWS\Installer\{1E04F83B-2AB9-4301-9EF7-E86307F79C72}\UNINST_Uninstall_G_3DE5E7D47B88403CA3FD2017A8240C5B.exe
- 2007-07-11 23:22:00 135,168 ----a-w C:\WINDOWS\system32\java.exe
+ 2007-09-24 21:30:28 135,168 ----a-w C:\WINDOWS\system32\java.exe
- 2007-07-11 23:22:04 135,168 ----a-w C:\WINDOWS\system32\javaw.exe
+ 2007-09-24 21:30:30 135,168 ----a-w C:\WINDOWS\system32\javaw.exe
- 2007-07-12 00:22:38 139,264 ----a-w C:\WINDOWS\system32\javaws.exe
+ 2007-09-24 22:31:42 139,264 ----a-w C:\WINDOWS\system32\javaws.exe
- 2007-07-22 17:39:27 279,552 ----a-w C:\WINDOWS\system32\swreg.exe
+ 2007-04-02 13:21:27 139,776 ----a-w C:\WINDOWS\system32\swreg.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2002-07-12 23:33 C:\WINDOWS\mixer.exe]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-10-25 10:09]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 10:12]
"WinampAgent"="E:\Winamp\winampa.exe" [2007-02-13 19:29]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 08:41]
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2002-12-28 11:14]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 15:00]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 15:15]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 14:30]
"tswwcmmp"="C:\xsgybofq.bat" [2007-10-31 09:38]
"akcagiar"="C:\uvwujotg.bat" [2007-10-31 09:38]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="E:\Programme\Logitech\Video\ManifestEngine.exe" [2005-06-08 13:44]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-23 17:04]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 18:03]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-08-31 16:40]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^autos.exe]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\autos.exe
backup=C:\WINDOWS\pss\autos.exeCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^neu^Startmenü^Programme^Autostart^infos.exe]
path=C:\Dokumente und Einstellungen\neu\Startmenü\Programme\Autostart\infos.exe
backup=C:\WINDOWS\pss\infos.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Undefined]
C:\WINDOWS\system32\winter.exe

R3 st3bus28;st3bus28;C:\WINDOWS\system32\DRIVERS\st3bus28.sys
R3 st3mp28;st3mp28;C:\WINDOWS\system32\DRIVERS\st3mp28.sys
S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys
S3 XDva020;XDva020;\??\C:\WINDOWS\system32\XDva020.sys

.
Inhalt des "geplante Tasks" Ordners
"2007-06-16 11:17:22 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2007-07-07 17:57:44 C:\WINDOWS\Tasks\XoftSpySE 2.job"
- C:\Programme\XoftSpySE\XoftSpy.exe
"2007-07-07 17:57:44 C:\WINDOWS\Tasks\XoftSpySE.job"
- C:\Programme\XoftSpySE\XoftSpy.exe
.
**************************************************************************

catchme 0.3.1239 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-31 10:20:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-31 10:21:13
C:\ComboFix2.txt ... 2007-10-30 08:49
.
--- E O F ---

--------------------------------------------------------------------------

Soooo, und ganz zum schluss noch die Filelist, mit den dateien des letzten Monats:

--------------------------------------------------------------------------

----- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C43A-5A15

Verzeichnis von C:\

31.10.2007 10:21 13.003 ComboFix.txt
31.10.2007 09:38 1.080 uvwujotg.bat
31.10.2007 09:38 348 avenger.txt
31.10.2007 09:34 1.610.612.736 pagefile.sys
31.10.2007 09:33 1.080 lyoyburt.bat
31.10.2007 09:33 126.976 zip.exe
30.10.2007 20:53 1.694 rapport.txt
30.10.2007 12:31 211 boot.ini
30.10.2007 08:49 7.837 ComboFix2.txt

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C43A-5A15

Verzeichnis von C:\WINDOWS\system32

31.10.2007 09:38 420 xnuevety.txt
31.10.2007 09:38 420 bfqbgkky.txt
30.10.2007 20:53 2.628 tmp.reg
30.10.2007 20:53 0 tmp.txt
30.10.2007 13:17 5.686 jupdate-1.6.0_03-b05.log
30.10.2007 07:47 6.144 skuns.dat
30.10.2007 07:47 7.680 proper.exe
30.10.2007 07:47 7.680 winter.exe
29.10.2007 10:00 392.296 perfh009.dat
29.10.2007 10:00 405.118 perfh007.dat
29.10.2007 10:00 58.596 perfc009.dat
29.10.2007 10:00 70.580 perfc007.dat
29.10.2007 10:00 938.224 PerfStringBackup.INI
29.10.2007 09:58 13.740 wpa.dbl

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C43A-5A15

Verzeichnis von C:\WINDOWS\Prefetch

10.05.2007 16:54 82.024 MSOOBE.EXE-30411B02.pf
10.05.2007 16:47 198.526 IEXPLORE.EXE-2CA9778D.pf
10.05.2007 16:46 55.782 EXPLORER.EXE-082F38A9.pf
10.05.2007 16:46 41.508 IKERNEL.EXE-092EF074.pf
10.05.2007 16:46 75.290 SVCHOST.EXE-3530F672.pf
10.05.2007 16:44 30.176 MSIEXEC.EXE-2F8A8CAE.pf
10.05.2007 16:44 60.908 WPABALN.EXE-18F87702.pf
10.05.2007 16:43 114.932 WUAUCLT.EXE-399A8E72.pf
10.05.2007 16:43 1.063.954 NTOSBOOT-B00DFAAD.pf
10.05.2007 16:38 183.606 WMIPRVSE.EXE-28F301A9.pf
10.05.2007 16:38 34.702 WMIADAP.EXE-2DF425B2.pf
10.05.2007 16:36 19.410 LOGONUI.EXE-0AF22957.pf
10.05.2007 16:35 36.644 REGSVR32.EXE-25EEFE2F.pf
10.05.2007 16:35 8.284 WSCNTFY.EXE-1B24F5EB.pf
10.05.2007 16:26 37.780 MSCORSVW.EXE-1BF30400.pf
10.05.2007 15:36 38.288 UNREGMP2.EXE-07CACB61.pf
10.05.2007 15:35 36.810 IMAPI.EXE-0BF740A4.pf
10.05.2007 11:14 55.956 RUNDLL32.EXE-2576181F.pf
10.05.2007 10:02 26.972 LODCTR.EXE-1009C3B4.pf
10.05.2007 10:02 10.966 NGEN.EXE-38021CCC.pf
10.05.2007 10:02 46.692 REGSVCS.EXE-11A17120.pf
10.05.2007 10:01 36.792 ASPNET_REGIIS.EXE-009D6E80.pf
10.05.2007 10:01 22.084 MOFCOMP.EXE-01718E95.pf
10.05.2007 09:58 9.400 REGTLIBV12.EXE-0E2FA54B.pf

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C43A-5A15

Verzeichnis von C:\WINDOWS

31.10.2007 10:20 1.418.014 ntbtlog.txt
31.10.2007 09:45 50 Lic.xxx
31.10.2007 09:45 529 win.ini
31.10.2007 09:34 0 0.log
31.10.2007 09:34 2.048 bootstat.dat
31.10.2007 09:33 1.485.621 WindowsUpdate.log
31.10.2007 09:33 420 kkaoryes.txt
31.10.2007 09:18 216 wiadebug.log
31.10.2007 08:59 54.156 QTFont.qfn
31.10.2007 08:30 50 wiaservc.log
30.10.2007 20:53 174.308 setupact.log
30.10.2007 12:31 227 system.ini
30.10.2007 10:15 69 NeroDigital.ini
26.10.2007 09:51 136.192 catchme.exe
19.10.2007 16:54 828.296 setupapi.log
19.10.2007 12:44 0 plclient.INI
14.10.2007 14:28 480 goldwave.ini
09.10.2007 22:49 1.374 imsins.log
09.10.2007 22:49 34.571 tabletoc.log
09.10.2007 22:49 144.979 ntdtcsetup.log
09.10.2007 22:49 785.530 iis6.log
09.10.2007 22:49 240.408 comsetup.log
09.10.2007 22:49 315.962 tsoc.log
09.10.2007 22:49 37.882 ocmsn.log
09.10.2007 22:49 14.696 KB933729.log
09.10.2007 22:49 34.182 msgsocm.log
09.10.2007 22:49 47.609 MedCtrOC.log
09.10.2007 22:49 335.100 ocgen.log
09.10.2007 22:49 119.456 netfxocm.log
09.10.2007 22:49 676.404 FaxSetup.log
09.10.2007 22:49 219.470 msmqinst.log
09.10.2007 22:49 91.378 updspapi.log
09.10.2007 22:48 1.374 imsins.BAK
09.10.2007 22:48 22.911 KB939653-IE7.log
09.10.2007 22:48 10.012 KB941202.log
03.10.2007 06:46 66.381 wmsetup.log

----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C43A-5A15

Verzeichnis von C:\WINDOWS\tasks

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C43A-5A15

Verzeichnis von C:\WINDOWS\temp

----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C43A-5A15

Verzeichnis von C:\DOKUME~1\neu\LOKALE~1\Temp

31.10.2007 10:22 126.476 filelist.txt
1 Datei(en) 126.476 Bytes
0 Verzeichnis(se), 2.291.617.792 Bytes frei

--------------------------------------------------------------------------

Ich hoffe es ist alles so wie du es wolltest.

lg Zuljin

(entschuldigt bitte die vielen Posts hintereinander, es is einfach zu viel information... *Grinst*)

cosinus · 01.11.2007, 18:08

Die vielen Posts mit den Logdateien sind schon okay.
Aber deine "Besucher" entpuppen sich als Backdoors!! Jetzt steht fest, dass du das System neu aufsetzen musst, eine Bereinigung wäre alles andere als sicher. Leg also schonmal alles bereit, Windows-CD, SP2, Treiber (saubere Medien!).

Werte vorher aber nochmal zur Info diese Dateien bei Virustotal aus und poste die Ergebnisse:

Code:

ATTFilter

C:\WINDOWS\system32\skuns.dat
C:\WINDOWS\system32\proper.exe
C:\WINDOWS\system32\drivers\prriejqf.sys
C:\WINDOWS\system32\drivers\kpsnigcc.sys
C:\WINDOWS\system32\drivers\wctyctaq.sys

MikeG77 · 01.11.2007, 20:29

Hallo,

...Woran kann man die "Backdoor"- Bedrohung denn erkennen in den logs? Gibt es keine andere Möglichkeit, den Rechner irgendwie wieder sicher zu machen?...

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Zuljin · 02.11.2007, 07:14

Virustotal Logs:

Datei skuns.dat empfangen 2007.11.02 07:03:05 (CET)
Status: Beendet

Ergebnis: 14/32 (43.75%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.2.0 2007.11.02 -
AntiVir 7.6.0.30 2007.11.01 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.11.01 -
Avast 4.7.1074.0 2007.11.01 -
AVG 7.5.0.503 2007.11.01 BackDoor.Generic8.ZGR
BitDefender 7.2 2007.11.02 Trojan.Agent.AFQT
CAT-QuickHeal 9.00 2007.11.01 Backdoor.Small.cbo
ClamAV 0.91.2 2007.11.01 -
DrWeb 4.44.0.09170 2007.11.01 Trojan.Proxy.1739
eSafe 7.0.15.0 2007.10.28 -
eTrust-Vet 31.2.5261 2007.11.01 -
Ewido 4.0 2007.11.01 -
FileAdvisor 1 2007.11.02 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.11.01 -
F-Secure 6.70.13030.0 2007.11.02 Backdoor.Win32.Small.cbo
Ikarus T3.1.1.12 2007.11.02 Backdoor.Win32.Small.cbo
Kaspersky 7.0.0.125 2007.11.02 Backdoor.Win32.Small.cbo
McAfee 5154 2007.11.01 -
Microsoft 1.2908 2007.11.02 TrojanDownloader:Win32/Eldycow.gen!A
NOD32v2 2633 2007.11.02 -
Norman 5.80.02 2007.11.02 -
Panda 9.0.0.4 2007.11.02 Adware/WinAntiVirus2007
Prevx1 V2 2007.11.02 Malware.Gen
Rising 20.16.40.00 2007.11.02 -
Sophos 4.23.0 2007.11.02 Mal/EncPk-BB
Sunbelt 2.2.907.0 2007.10.31 -
Symantec 10 2007.11.02 Trojan.Perfcoo
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.31 -
VirusBuster 4.3.26:9 2007.11.01 -
Webwasher-Gateway 6.6.1 2007.11.01 Trojan.Crypt.XPACK.Gen

Der "Freund" sieht schon übel aus.
Bei den anderen Files jedoch ist Virustotal auf 0% gekommen. die angegebene proper.exe wurde nichteinmal mehr gefunden. wie es scheint ist die mit der reinigungs aktion mit "aufgeräumt" worden.

Zuljin

31.10.2007, 21:04	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	hartnäckiger unbekannter Plagegeist... "Windows Security Alert" Das ist ja schonmal nicht schlecht, wenn die offensichtlichen Auswirkungen des Schädlings erstmal weg sind. Poste aber auch wie schon erwähnt noch für tiefere Analysen die Logfiles, um evtl. verbliebene Reste aufzuspüren. __________________ --> hartnäckiger unbekannter Plagegeist... "Windows Security Alert"

hartnäckiger unbekannter Plagegeist... "Windows Security Alert"

Plagegeister aller Art und deren Bekämpfung: hartnäckiger unbekannter Plagegeist... "Windows Security Alert"