C:\WINDOWS\PREFETCH\TBOTSRO0913.EXE-23204BF0.pf

Antivirus Version letzte aktualisierung Ergebnis

AhnLab-V3 2007.11.6.0 2007.11.05 -
AntiVir 7.6.0.30 2007.11.05 -
Authentium 4.93.8 2007.11.03 -
Avast 4.7.1074.0 2007.11.05 -
AVG 7.5.0.503 2007.11.05 -
BitDefender 7.2 2007.11.05 -
CAT-QuickHeal 9.00 2007.11.05 -
ClamAV 0.91.2 2007.11.05 -
DrWeb 4.44.0.09170 2007.11.05 -
eSafe 7.0.15.0 2007.10.28 -
eTrust-Vet 31.2.5264 2007.11.02 -
Ewido 4.0 2007.11.05 -
FileAdvisor 1 2007.11.05 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.05 -
F-Secure 6.70.13030.0 2007.11.05 -
Ikarus T3.1.1.12 2007.11.05 -
Kaspersky 7.0.0.125 2007.11.05 -
McAfee 5155 2007.11.02 -
Microsoft 1.2908 2007.11.05 -
NOD32v2 2637 2007.11.05 -
Norman 5.80.02 2007.11.05 -
Panda 9.0.0.4 2007.11.04 -
Prevx1 V2 2007.11.05 -
Rising 20.17.01.00 2007.11.05 -
Sophos 4.23.0 2007.11.05 -
Sunbelt 2.2.907.0 2007.11.02 -
Symantec 10 2007.11.05 -
TheHacker 6.2.9.116 2007.11.05 -
VBA32 3.12.2.4 2007.11.05 -
VirusBuster 4.3.26:9 2007.11.05 -
Webwasher-Gateway 6.0.1 2007.11.05 -

weitere Informationen
File size: 41208 bytes
MD5: be5e14282c2e2eac68ec8e432eeaed22
SHA1: 0540b64b6ada1ca871778435f598dccf2fd3f022

C:\WINDOWS\PREFETCH\GLBA7.TMP-0ED74450.pf

Antivirus Version letzte aktualisierung Ergebnis

AhnLab-V3 2007.11.6.0 2007.11.05 -
AntiVir 7.6.0.30 2007.11.05 -
Authentium 4.93.8 2007.11.03 -
Avast 4.7.1074.0 2007.11.05 -
AVG 7.5.0.503 2007.11.05 -
BitDefender 7.2 2007.11.05 -
CAT-QuickHeal 9.00 2007.11.05 -
ClamAV 0.91.2 2007.11.05 -
DrWeb 4.44.0.09170 2007.11.05 -
eSafe 7.0.15.0 2007.10.28 -
eTrust-Vet 31.2.5264 2007.11.02 -
Ewido 4.0 2007.11.05 -
FileAdvisor 1 2007.11.05 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.05 -
F-Secure 6.70.13030.0 2007.11.05 -
Ikarus T3.1.1.12 2007.11.05 -
Kaspersky 7.0.0.125 2007.11.05 -
McAfee 5155 2007.11.02 -
Microsoft 1.2908 2007.11.05 -
NOD32v2 2637 2007.11.05 -
Norman 5.80.02 2007.11.05 -
Panda 9.0.0.4 2007.11.04 -
Prevx1 V2 2007.11.05 -
Rising 20.17.01.00 2007.11.05 -
Sophos 4.23.0 2007.11.05 -
Sunbelt 2.2.907.0 2007.11.02 -
Symantec 10 2007.11.05 -
TheHacker 6.2.9.116 2007.11.05 -
VBA32 3.12.2.4 2007.11.05 -
VirusBuster 4.3.26:9 2007.11.05 -
Webwasher-Gateway 6.0.1 2007.11.05 -

weitere Informationen
File size: 14602 bytes
MD5: 4f3bd5106f7d75ebf59d046821a2f97a
SHA1: 21e0113d408bc9fd9283d66b42ea783de28935e8

C:\WINDOWS\TEMP\D653F3EC.TMP

Antivirus Version letzte aktualisierung Ergebnis

AhnLab-V3 2007.11.6.0 2007.11.05 -
AntiVir 7.6.0.30 2007.11.05 -
Authentium 4.93.8 2007.11.03 -
Avast 4.7.1074.0 2007.11.05 -
AVG 7.5.0.503 2007.11.05 -
BitDefender 7.2 2007.11.05 -
CAT-QuickHeal 9.00 2007.11.05 -
ClamAV 0.91.2 2007.11.05 -
DrWeb 4.44.0.09170 2007.11.05 -
eSafe 7.0.15.0 2007.10.28 -
eTrust-Vet 31.2.5264 2007.11.02 -
Ewido 4.0 2007.11.05 -
FileAdvisor 1 2007.11.05 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.05 -
F-Secure 6.70.13030.0 2007.11.05 -
Ikarus T3.1.1.12 2007.11.05 -
Kaspersky 7.0.0.125 2007.11.05 -
McAfee 5155 2007.11.02 -
Microsoft 1.2908 2007.11.05 -
NOD32v2 2637 2007.11.05 -
Norman 5.80.02 2007.11.05 -
Panda 9.0.0.4 2007.11.04 -
Prevx1 V2 2007.11.05 -
Rising 20.17.01.00 2007.11.05 -
Sophos 4.23.0 2007.11.05 -
Sunbelt 2.2.907.0 2007.11.02 -
Symantec 10 2007.11.05 -
TheHacker 6.2.9.116 2007.11.05 -
VBA32 3.12.2.4 2007.11.05 -
VirusBuster 4.3.26:9 2007.11.05 -
Webwasher-Gateway 6.0.1 2007.11.05 -

weitere Informationen
File size: 126 bytes
MD5: 85bebbbdcda63947567e3e03a80a459d
SHA1: 6091175b42ff2b02d9720239f5950182dc7dd993

so jetzt sind alle fertig

nur bei temp ist was an Vieren. das ist schon mal gut

danke für weitere Hilfe

Zitat:

Zitat von Elite4Life

so jetzt sind alle fertig

nur bei temp ist was an Vieren. das ist schon mal gut

danke für weiter Hilfe

Bitte führe noch den Scan mit Combofix aus.


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

ComboFix sagt das die kopie abgelaufen ist

OK hat geklapt :aplaus:

ComboFix 07-11-01.1** - _G_R_O_M_ 2007-11-05 18:52:09.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\_G_R_O_M_\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\_G_R_O_M_\Anwendungsdaten\addon.dat

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-05 bis 2007-11-05 ))))))))))))))))))))))))))))))
.

2007-11-26 18:38 58,368 --a------ C:\WINDOWS\NirCmd.exe
2007-11-26 16:54 <DIR> d-------- C:\Dokumente und Einstellungen\_G_R_O_M_\Anwendungsdaten\vlc
2007-11-25 14:00 <DIR> d-------- C:\Programme\BearShare
2007-11-25 14:00 <DIR> d-------- C:\My Downloads
2007-11-25 13:51 <DIR> d-------- C:\Dokumente und Einstellungen\_G_R_O_M_\Anwendungsdaten\RegistrySmart
2007-11-25 10:42 <DIR> d-------- C:\Temp
2007-11-24 18:55 <DIR> d-------- C:\Programme\Trend Micro
2007-11-24 17:18 <DIR> d-------- C:\Programme\Symantec
2007-11-24 17:18 83,168 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2007-11-24 17:18 82,832 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-11-24 17:17 <DIR> d-------- C:\Programme\Symantec AntiVirus
2007-11-24 17:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-11-24 17:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2007-11-24 15:59 <DIR> d-------- C:\Programme\Hex-Editor MX
2007-11-24 11:52 <DIR> d-------- C:\Dokumente und Einstellungen\_G_R_O_M_\Anwendungsdaten\FRITZ!
2007-11-24 11:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVM
2007-11-24 11:35 <DIR> d-------- C:\Programme\FRITZ!DSL
2007-11-24 11:35 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2007-11-24 11:35 974,848 --a------ C:\WINDOWS\system32\mfc70.dll
2007-11-24 11:35 361,472 --a------ C:\WINDOWS\system32\drivers\Netfwdsl.sys
2007-11-24 11:35 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2007-11-24 11:35 31,232 --a------ C:\WINDOWS\system32\i2errDeu.dll
2007-11-24 11:35 28,160 --a------ C:\WINDOWS\system32\drivers\Aadev.sys
2007-11-24 11:35 11,264 --a------ C:\WINDOWS\system32\drivers\NETDSL.SYS
2007-11-24 02:22 <DIR> d---s---- C:\Dokumente und Einstellungen\_G_R_O_M_\UserData
2007-11-24 02:09 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-11-24 02:08 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-11-24 02:08 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2007-11-24 02:08 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-11-24 02:05 <DIR> d-------- C:\Programme\C-Media 3D Audio
2007-11-24 02:05 1,462,272 --a------ C:\WINDOWS\system\SmWizard.exe
2007-11-24 02:05 917,504 --a------ C:\WINDOWS\system\cmids3d.dll
2007-11-24 02:05 754,560 --a------ C:\WINDOWS\system32\drivers\cmuda.sys
2007-11-24 02:05 712,704 --a------ C:\WINDOWS\system32\Audio3D.dll
2007-11-24 02:05 241,664 --a------ C:\WINDOWS\system32\cmirmdrv.exe
2007-11-24 02:05 233,472 --a------ C:\WINDOWS\CmiRmRedundDir.exe
2007-11-24 02:05 114,688 --a------ C:\WINDOWS\system32\cmuda.dll
2007-11-24 02:05 32,768 --a------ C:\WINDOWS\system32\udaprop.dll
2007-11-24 02:05 28,672 --a------ C:\WINDOWS\system32\cmirmdrv.dll
2007-11-24 01:20 <DIR> d-------- C:\Programme\Lavasoft
2007-11-24 01:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-11-24 01:10 <DIR> d-------- C:\Dokumente und Einstellungen\_G_R_O_M_\Anwendungsdaten\COWON
2007-11-24 01:02 <DIR> d-------- C:\Programme\JetAudio
2007-11-24 00:20 <DIR> d-------- C:\Programme\TuneUp Utilities 2007
2007-11-24 00:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2007-11-24 00:20 <DIR> d-------- C:\Dokumente und Einstellungen\_G_R_O_M_\Anwendungsdaten\TuneUp Software
2007-11-24 00:20 24,072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2007-11-24 00:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-24 00:14 <DIR> d-------- C:\Dokumente und Einstellungen\_G_R_O_M_\Anwendungsdaten\Opera
2007-11-24 00:13 <DIR> d-------- C:\Programme\Opera
2007-11-24 00:07 <DIR> d-------- C:\Programme\ICQToolbar
2007-11-24 00:07 <DIR> d-------- C:\Program Files
2007-11-24 00:07 <DIR> d-------- C:\Dokumente und Einstellungen\_G_R_O_M_\Anwendungsdaten\ICQ Toolbar
2007-11-24 00:06 <DIR> d-------- C:\Programme\ICQLite
2007-11-24 00:06 <DIR> d-------- C:\Dokumente und Einstellungen\_G_R_O_M_\Anwendungsdaten\ICQLite
2007-11-24 00:02 33,952 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
2007-11-24 00:02 24,294 --ah----- C:\WINDOWS\system32\klog.dat
2007-11-23 23:50 <DIR> d-------- C:\Dokumente und Einstellungen\_G_R_O_M_\Anwendungsdaten\Macromedia
2007-11-23 23:41 <DIR> d-------- C:\Dokumente und Einstellungen\_G_R_O_M_\Anwendungsdaten\WinRAR
2007-11-23 05:19 1,677,824 --a------ C:\WINDOWS\system32\chsbrkr.dll
2007-11-23 05:19 838,144 --a------ C:\WINDOWS\system32\chtbrkr.dll
2007-11-23 05:19 98,304 --a------ C:\WINDOWS\system32\msir3jp.dll
2007-11-23 05:19 70,656 --a------ C:\WINDOWS\system32\korwbrkr.dll
2007-11-23 05:17 811,064 --a------ C:\WINDOWS\system32\imjp81k.dll
2007-11-23 05:17 8,704 --a------ C:\WINDOWS\system32\kbdjpn.dll
2007-11-23 05:17 8,192 --a------ C:\WINDOWS\system32\kbdkor.dll
2007-11-23 05:17 6,144 --a------ C:\WINDOWS\system32\kbd106.dll
2007-11-23 05:17 6,144 --a------ C:\WINDOWS\system32\kbd101c.dll
2007-11-23 05:17 6,144 --a------ C:\WINDOWS\system32\kbd101b.dll
2007-11-23 05:17 5,632 --a------ C:\WINDOWS\system32\kbd103.dll
2007-11-23 03:00 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-11-23 03:00 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-11-23 02:20 4,992 --a------ C:\WINDOWS\system32\drivers\loop.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-26 17:49 2,621,440 ---ha-w C:\Dokumente und Einstellungen\_G_R_O_M_\NTUSER.DAT
2007-11-25 22:26 --------- d-----w C:\Dokumente und Einstellungen\_G_R_O_M_\Anwendungsdaten\teamspeak2
2007-11-25 11:47 --------- d-----w C:\Programme\Teamspeak2_RC2
2007-11-24 00:02 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-23 23:59 --------- d-s---w C:\Dokumente und Einstellungen\_G_R_O_M_\Anwendungsdaten\Microsoft
2007-11-23 23:59 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-11-23 23:03 2,949,120 ----a-w C:\WINDOWS\inf\sro.exe
2007-11-23 23:03 1,220,890 ----a-w C:\WINDOWS\inf\nuB.exe
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2004-04-02 13:57]
"BearShare"="C:\Programme\BearShare\BearShare.exe" [2005-07-15 09:50]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" -minimize
"CmiRemoveDir"=C:\WINDOWS\CMIRMR~1.EXE

R1 oreans32;oreans32;\??\C:\WINDOWS\system32\drivers\oreans32.sys
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 msloop;Microsoft Loopbackadaptertreiber;C:\WINDOWS\system32\DRIVERS\loop.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\Microsoft App Initialising]
C:\WINDOWS\system32\cdn.dll.exe s
.
Inhalt des "geplante Tasks" Ordners
"2007-11-23 23:20:31 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2007-11-26 13:48:41 C:\WINDOWS\Tasks\RegistrySmart Scheduled Scan.job"
- C:\Programme\RegistrySmart\RegistrySmart.exe
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-05 18:53:23
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwOpenFile

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-05 18:54:00
.
--- E O F ---

Und Combofix sagt mir nun endgültig was dein Problem auf dem System ist, unter anderem ein Backdoor-Trojaner.

Aber versuchen wir diesen mal zu entfernen:


Anleitung Avenger

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

files to delete:
C:\WINDOWS\system32\drivers\oreans32.sys
C:\WINDOWS\TEMP\VRT22.tmp

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen

Poste ausserdem den Inhalt der C:\avenger.txt Datei.


RootkitRevealer scannen lassen

* Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
* Starte in diesem Ordner RootkitReavealer.exe. Alle anderen Programme schließen.
* Starte durch Klick auf "Scan".
* Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.



ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

beim starten von Avenger.exe kommt ein Problem
___________________________________________

Intergrity check failed! This File Has been modified.
Reason might be a possible virus infection!
___________________________________________
hmm

Daran ist der Trojaner Schuld, er will verhindern das du ihm an den Kragen gehst!

Versuch es mal im abgesicherten Modus:


abgesicherter Modus

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.

Wenn es von dort aus immer noch nicht klappt melde dich nochmal.

hehe das ist gut der soll mal werden ^^

man ich liebe dich da für das du mir hilfs (FUN)
ich prubiere es jetzt
mit A. M.

sorry aber in abgesichertern modus funktioniert es auch nicht HMmm
ich glaube das ist nicht gut oder ??

ich hoffe das du ein As in der tasche hast

Ich will ein neues "Löschprogramm" testen, da der Trojaner bei dir die Arbeit vom Avenger blockiert!

Moment ...

Otmoveit

*hier die Software runterladen auf den Desktop -> OTMoveIt.exe
*mit einem Doppelklick starten, du siehst nun folgendes Fenster:




Füge in das weiße Feld (Paste List..) folgenden Text ein:

Zitat:

C:\WINDOWS\system32\drivers\oreans32.sys
C:\WINDOWS\TEMP\VRT22.tmp

*nun auf den Button -> Move it klicken...
*rechts in diesem Fenster steht dann die Resultat was geschehen ist, kopiere diese ab und füge sie in deinen nächsten Beitrag ein:




außerdem:


Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

C:\WINDOWS\system32\drivers\oreans32.sys moved successfully.
File/Folder C:\WINDOWS\TEMP\VRT22.tmp not found.

Created on 11.06.2007 20:24:32