TR/Agent.37376 + TR/Vundo.Gen, Logs added

Lackmulle · 27.11.2007, 00:29

Hallo Ihr alle!

Bin neu hier und versuch mein Bestes:
Hab ein Problem mit zwei (oder mehr?) Viren/Trojanern.

Namentlich: TR/Vundo.Gen und TR/Agent.37376

Antivir gibt ständig Fehlermeldungen und die Dateien lassen sich werder von Antivi noch manuell oder im abgesicherten Modus löschen.

Zu TR/Vundo.Gen gibts schon einen Post - falls ich mich an den halten kann erübrigt sich der Rest hier - aber ich vermute dass ich hier eine individuell "BEtreuung" brauche ...

Aus dem TR/Vundo.Gen Post hab ich einfach mal diverse einleitende Schritte übernommen, hier die Ergebnisse:

* Vundofix
* ComboFix
* HijackThis - Scan
* MWAV (eScan) - Free Antivirus

* Vundofix

"Done Searching for files. NO infected files were found."

* ComboFix

ComboFix 07-11-19.4 - *** 2007-11-26 23:54:28.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.709 [GMT 1:00]
ausgeführt von:: F:\Down\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\npqss.ini
C:\WINDOWS\system32\npqss.ini2
C:\WINDOWS\system32\ssqpn.dll
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-26 bis 2007-11-26 ))))))))))))))))))))))))))))))
.

2007-11-26 14:43 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-11-26 14:43 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-11-26 14:43 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-11-26 14:43 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-11-26 14:43 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-11-26 14:43 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-11-26 14:42 153,600 --a------ C:\WINDOWS\R.COM
2007-11-26 14:42 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-11-26 14:22 <DIR> d-------- C:\VundoFix Backups
2007-11-20 23:29 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Intel
2007-11-20 23:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-11-20 23:28 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2007-11-20 23:28 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-11-20 23:28 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-11-20 23:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-11-20 23:28 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-11-20 23:28 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-11-19 23:48 37,376 --------- C:\WINDOWS\system32\khfeday.dll
2007-11-18 00:24 <DIR> d-------- C:\Dokumente und Einstellungen\sponkey\Anwendungsdaten\Sonic
2007-11-18 00:24 <DIR> d-------- C:\Dokumente und Einstellungen\sponkey\Anwendungsdaten\Leadertech
2007-11-18 00:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2007-11-18 00:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\TiVo Shared
2007-11-18 00:16 <DIR> d-------- C:\WINDOWS\system32\dla
2007-11-18 00:16 98,360 --a------ C:\WINDOWS\dla.exe
2007-11-18 00:16 88,080 --a------ C:\WINDOWS\system32\drivers\drvmcdb.sys
2007-11-18 00:16 61,500 --a------ C:\WINDOWS\system32\tfswapi.dll
2007-11-18 00:16 40,544 --a------ C:\WINDOWS\system32\drivers\drvnddm.sys
2007-11-18 00:16 23,545 --a------ C:\WINDOWS\system32\drivers\ssrtln.sys
2007-11-18 00:16 5,627 --a------ C:\WINDOWS\system32\drivers\sscdbhk5.sys
2007-11-18 00:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sonic Shared
2007-11-15 14:43 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\.BitTornado
2007-11-12 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Media Player Classic
2007-11-12 22:59 1,559,040 --a------ C:\WINDOWS\system32\xvidcore.dll
2007-11-12 22:59 389,120 --a------ C:\WINDOWS\system32\lameACM.acm
2007-11-12 22:59 282,624 --a------ C:\WINDOWS\system32\xvidvfw.dll
2007-11-12 22:59 217,088 --a------ C:\WINDOWS\system32\yv12vfw.dll
2007-11-12 22:59 164,352 --a------ C:\WINDOWS\system32\unrar.dll
2007-11-12 22:59 118,784 --a------ C:\WINDOWS\system32\ac3acm.acm
2007-11-12 22:59 7,680 --a------ C:\WINDOWS\system32\ff_vfw.dll
2007-11-12 22:59 547 --a------ C:\WINDOWS\system32\ff_vfw.dll.manifest
2007-11-12 22:59 414 --a------ C:\WINDOWS\system32\lame_acm.xml
2007-11-11 18:31 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\DivX
2007-11-11 18:30 43,528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-11-11 18:30 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-11-11 18:30 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-11-09 00:57 19,472 --a------ C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-11-07 12:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2007-11-07 12:44 <DIR> d--h----- C:\WINDOWS\system32\CanonIJ Uninstaller Information
2007-11-07 12:44 <DIR> d-------- C:\Programme\CanonBJ
2007-11-07 12:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2007-11-07 12:44 215,040 --a------ C:\WINDOWS\system32\CNMLM92.DLL
2007-11-07 12:40 <DIR> d-------- C:\Programme\Canon
2007-11-06 21:09 <DIR> d-------- C:\Programme\iPod
2007-11-05 02:09 <DIR> d-------- C:\WINDOWS\Sun
2007-11-04 17:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2007-10-28 00:33 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-10-28 00:32 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF

.
(((((((((((((((((( Find3M Bericht
.
2007-11-25 20:07 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\.BitTornado
2007-11-17 23:19 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-11-08 21:47 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2007-11-06 20:09 --------- d-----w C:\Programme\QuickTime
2007-10-20 00:56 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-10-20 00:56 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-10-20 00:56 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-10-20 00:56 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-10-20 00:56 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-10-20 00:56 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-10-20 00:56 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-10-20 00:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-10-20 00:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-10-20 00:54 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-10-20 00:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-10-20 00:54 739,840 ----a-w C:\WINDOWS\system32\DivX.dll
2007-10-20 00:54 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-10-19 11:38 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\teamspeak2
2007-10-18 09:06 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-10-18 09:03 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-10-18 09:03 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-10-18 09:03 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-10-18 09:03 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-10-18 09:03 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-10-18 09:03 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-10-18 09:02 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-09-14 21:00 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2007-09-14 21:00 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2007-09-14 21:00 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2007-09-14 19:25 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-09-05 13:07 139,264 ----a-w C:\WINDOWS\War3Unin.exe
.

(((((((((((((((((( Autostart Punkte der Registrierung
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ED203331-9C33-49D8-8714-D24A366A04EC}]
2007-11-19 23:48 37376 --------- C:\WINDOWS\system32\khfeday.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2005-02-22 12:35 C:\WINDOWS\system32\nwiz.exe]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\QuickSet.exe" [2005-02-07 15:12]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2004-09-13 10:33]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-15 17:40]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-10-19 20:16]
"iTunesHelper"="F:\iTunes\iTunesHelper.exe" [2007-11-02 18:36]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2005-03-16 05:33]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 16:50]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]

[hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{ED203331-9C33-49D8-8714-D24A366A04EC}"= C:\WINDOWS\system32\khfeday.dll [2007-11-19 23:48 37376]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
C:\Programme\Intel\Wireless\Bin\LgNotify.dll 2004-09-07 15:08 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfeday]
khfeday.dll 2007-11-19 23:48 37376 C:\WINDOWS\system32\khfeday.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\ssqpn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk
backup=C:\WINDOWS\pss\Bluetooth Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2007-10-10 19:51 39792 --a------ C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BlockAds]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pop-Up-Blocker]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\razer]
2005-04-27 12:14 155648 --a------ f:\treiber\Razer\razerhid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoveIT Pro XT]
2007-11-20 12:52 587776 --------- F:\Removeit\InCode Solutions\RemoveIT Pro v4-Trial\removeit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2003-11-19 16:48 32881 --a------ C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransparentIcons]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tweak-XP]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"rpcapd"=3 (0x3)
"IJPLMSVC"=2 (0x2)

R3 Razerlow;Razerlow USB Filter Driver;C:\WINDOWS\system32\Drivers\Razerlow.sys
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys
S4 IJPLMSVC;PIXMA Extended Survey Program;C:\Programme\Canon\IJPLM\IJPLMSVC.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\autoplay.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-09-13 17:59:23 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2007-09-04 18:26:37 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
**************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2007-11-27 00:00:09
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

************************
.
Zeit der Fertigstellung: 2007-11-27 0:01:19 - machine was rebooted
.
--- E O F ---

* HijackThis - Scan

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:08:38, on 27.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Dell\QuickSet\QuickSet.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\iTunes\iTunesHelper.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
F:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 5480 bytes

* MWAV (eScan) - Free Antivirus

~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.6
Sprache: German
Virus-Datenbank Datum: 11/26/2007

~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with lopcom Browser Hijacker (glb1a2b.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with lopcom Browser Hijacker (glb1a2b.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\DOKUME~1\***\LOKALE~1\Temp\xrun.exe//Shrinker infiziert von "Trojan-Downloader.Win32.Agent.brq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\jvmsecman.jar-69ee0e0e-703b85bf.zip/vlocal.class infiziert von "Trojan-Downloader.Java.Agent.f" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\xrun.exe//Shrinker infiziert von "Trojan-Downloader.Win32.Agent.brq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\khfeday.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.arv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\khfeday.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.arv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\khfeday.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.arv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\khfeday.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.arv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\khfeday.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.arv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\glb1a2b.exe
Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\war3_install.exe
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\cmdlineext02.dll
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\glb1a2b.exe
Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\war3_install.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\k-lite codec pack\tools
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\k-lite codec pack\tools
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G !!!

~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in G\Shell\AutoRun\command: G:\autoplay.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 7.5.0.20\QuickTime.msi nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\QuickTime 7.3.0.70\QuickTime.msi nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\QuickTime\QTSystem\QuickTimeAudioSupport.Resources\ko.lproj\QuickTimeAudioSupportLocalized.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 105152
Gefundene Viren: 18
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 151
Dauer des Scans bisher: 00:46:07
~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 23:28:16,04
Batchende: 23:28:36,32

Cleriker · 27.11.2007, 09:12

Guten Morgen und

Herzlich Willkommen im Trojaner-Board

na das nenne ich doch mal eine Topvorbereitung

Wenn der Escan und Hijackthisscan die letzten Aktionen deinerseits
waren und das System auf diesem Stand ist, führe folgendes durch:

* Anleitung Avenger
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Ersetze die rot-markierten Stellen durch korrekte Pfadangaben

Zitat:

Files to delete:
C:\DOKUME~1\***\LOKALE~1\Temp\xrun.exe
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deploym ent\cache\javapi\v1.0\jar\jvmsecman.jar-69ee0e0e-703b85bf.zip
C:\WINDOWS\system32\khfeday.dll
C:\DOKUME~1\***\LOKALE~1\Temp\glb1a2b.exe
C:\DOKUME~1\***\LOKALE~1\Temp\war3_install.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt

* CCleaner
- Lade dir den CCleaner runter
- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben
--> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben

Anschließend bitte einen neuen hijackthisscan, escan
und Silentrunner nachreichen:

* Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)
Falls das Script eine Fehlermeldung ausgibt:
- starte regedit.exe über Start => Ausführen (oder Windowstaste+R)
- navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
- stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat

mfg Cleriker

Lackmulle · 27.11.2007, 20:57

Vielen dank für die schnelle Hife! echt super, danke Cleriker!

Leider ging es nicht ganz so gut wie erhofft: Avenger und CCleaner gingen noch problemlos durch, aber nach dem aufräumen der Registration mit CCleaner lieb das ganze system langsam bis gar nicht mehr. Jedes 2te Fenster ließ dich nur noch mit StrG+alt+Entf task beenden schließen undnach 2 neustarts führ nicht mal mehr Windows richtig hoch.
Als eine windos-wiederherstellen-Aktion über "von CD booten" auch ergebnislos verlief habe ich kurzentschlossen die Systempartition formatiert und Windows neu installiert.
Alle Sicherheitsupdates+antivir+firefox sind wieder drauf.

Bisher hat Antivir keine der nervigen "virenmeldungen" mehr ausgespuckt, aber e-scan im abgesicherten modus hat immerhin schon wieder 3 gefunden.

Soll ich nach wie vor wie zuvor beschrieben mit Avenger CCleaner und silentrunner fortfahren? oder ergibt sich aus der momentanen Situation neues?
hier die aktuellen Logs.

* ComboFix
* HijackThis - Scan
* MWAV (eScan) - Free Antivirus

* ComboFix

ComboFix 07-11-19.4 - *** 2007-11-27 20:30:33.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.728 [GMT 1:00]
ausgeführt von:: F:\Down\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-27 bis 2007-11-27
.

2007-11-27 19:49 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-11-27 19:49 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-11-27 19:49 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-11-27 19:49 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-11-27 19:49 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-11-27 19:49 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-11-27 19:46 153,600 --a------ C:\WINDOWS\R.COM
2007-11-27 19:46 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-11-27 19:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2007-11-27 19:34 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2007-11-27 19:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2007-11-27 19:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\TiVo Shared
2007-11-27 19:21 <DIR> d-------- C:\WINDOWS\system32\dla
2007-11-27 19:21 <DIR> d-------- C:\Programme\Sonic
2007-11-27 19:21 98,360 --a------ C:\WINDOWS\dla.exe
2007-11-27 19:21 61,500 --a------ C:\WINDOWS\system32\tfswapi.dll
2007-11-27 19:21 23,545 --a------ C:\WINDOWS\system32\drivers\ssrtln.sys
2007-11-27 19:21 5,627 --a------ C:\WINDOWS\system32\drivers\sscdbhk5.sys
2007-11-27 19:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sonic Shared
2007-11-27 19:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\CANON
2007-11-27 18:54 <DIR> d--h----- C:\WINDOWS\system32\CanonIJ Uninstaller Information
2007-11-27 18:54 <DIR> d-------- C:\Programme\CanonBJ
2007-11-27 18:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2007-11-27 18:08 <DIR> d-------- C:\Programme\Canon
2007-11-27 18:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-27 18:04 389,120 --a------ C:\WINDOWS\system32\lameACM.acm
2007-11-27 18:04 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-11-27 18:04 118,784 --a------ C:\WINDOWS\system32\ac3acm.acm
2007-11-27 18:04 7,680 --a------ C:\WINDOWS\system32\ff_vfw.dll
2007-11-27 18:04 547 --a------ C:\WINDOWS\system32\ff_vfw.dll.manifest
2007-11-27 18:04 414 --a------ C:\WINDOWS\system32\lame_acm.xml
2007-11-27 18:03 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-11-27 18:03 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-11-27 17:59 <DIR> d-------- C:\WINDOWS\Cache
2007-11-27 17:38 <DIR> d-------- C:\Programme\Avira
2007-11-27 17:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-11-27 17:29 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Talkback
2007-11-27 17:29 0 --a------ C:\WINDOWS\nsreg.dat
2007-11-27 17:21 <DIR> d-------- C:\WINDOWS\system32\de-de
2007-11-27 17:16 <DIR> d-------- C:\Programme\MSXML 4.0
2007-11-27 16:54 <DIR> d-------- C:\WINDOWS\$hf_mig$
2007-11-27 16:54 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-11-27 16:51 <DIR> d-------- C:\WINDOWS\ShellNew
2007-11-27 16:45 <DIR> d-------- C:\Dokumente und Einstellungen\***\UserData
2007-11-27 16:42 <DIR> d-------- C:\Programme\Dell Computer Corporation
2007-11-27 16:42 666 --a------ C:\WINDOWS\speed.reg
2007-11-27 16:42 5 --a------ C:\WINDOWS\system32\drivers\1028_DELL_INS_XPSGEN2.MRK
2007-11-27 16:41 <DIR> d-------- C:\Programme\Java
2007-11-27 16:41 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2007-11-27 16:39 <DIR> d-------- C:\Programme\Apoint
2007-11-27 16:39 108,791 --a------ C:\WINDOWS\system32\drivers\Apfiltr.sys
2007-11-27 16:31 <DIR> d-------- C:\Programme\Dell
2007-11-27 16:31 122,880 --a------ C:\WINDOWS\system32\NicConfigSvc.Cpl
2007-11-27 16:31 16,128 --a------ C:\WINDOWS\system32\drivers\APPDRV.SYS
2007-11-27 16:29 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Intel
2007-11-27 16:29 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Intel
2007-11-27 16:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Intel
2007-11-27 16:29 17,056 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2007-11-27 16:28 13 --a------ C:\WINDOWS\system32\drivers\verfile.tic
2007-11-27 16:26 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Toshiba
2007-11-27 16:23 <DIR> d-------- C:\Programme\Toshiba
2007-11-27 16:21 <DIR> d-------- C:\Programme\Broadcom
2007-11-27 16:19 <DIR> d-------- C:\WINDOWS\nview
2007-11-27 16:19 258,048 --a------ C:\WINDOWS\system32\nvrsde.dll
2007-11-27 16:18 4,043,392 --a------ C:\WINDOWS\system32\nv4_disp.dll
2007-11-27 16:18 4,043,392 --a--c--- C:\WINDOWS\system32\dllcache\nv4_disp.dll
2007-11-27 16:18 3,397,376 --a--c--- C:\WINDOWS\system32\dllcache\nv4_mini.sys
2007-11-27 16:18 442,368 --a------ C:\WINDOWS\system32\nvappbar.exe
2007-11-27 16:18 393,216 --a------ C:\WINDOWS\system32\keystone.exe
2007-11-27 16:18 81,920 --a------ C:\WINDOWS\system32\nvwddi.dll
2007-11-27 16:17 <DIR> d-------- C:\Programme\CONEXANT
2007-11-27 16:17 86,016 --a------ C:\WINDOWS\system32\mdmxsdk.dll
2007-11-27 16:17 33,818 --a------ C:\WINDOWS\system32\HSFCI010.dll
2007-11-27 16:16 <DIR> d-------- C:\Programme\SigmaTel
2007-11-27 16:16 272,568 --a------ C:\WINDOWS\system32\drivers\STAC97.sys
2007-11-27 16:16 192,512 --a------ C:\WINDOWS\system32\stac97co.dll
2007-11-27 16:16 172,416 --a--c--- C:\WINDOWS\system32\dllcache\kmixer.sys
2007-11-27 16:16 142,464 --a------ C:\WINDOWS\system32\drivers\aec.sys
2007-11-27 16:16 142,464 --a--c--- C:\WINDOWS\system32\dllcache\aec.sys
2007-11-27 16:16 130,048 --a------ C:\WINDOWS\system32\ksproxy.ax
2007-11-27 16:16 130,048 --a--c--- C:\WINDOWS\system32\dllcache\ksproxy.ax
2007-11-27 16:16 102,481 -r------- C:\WINDOWS\system32\stac97.cpl
2007-11-27 16:16 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2007-11-27 16:16 60,800 --a------ C:\WINDOWS\system32\drivers\sysaudio.sys
2007-11-27 16:16 60,288 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys
2007-11-27 16:16 54,272 --a------ C:\WINDOWS\system32\drivers\swmidi.sys
2007-11-27 16:16 52,864 --a--c--- C:\WINDOWS\system32\dllcache\dmusic.sys
2007-11-27 16:16 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2007-11-27 16:16 2,944 --a--c--- C:\WINDOWS\system32\dllcache\drmkaud.sys
2007-11-27 16:14 <DIR> d-------- C:\Programme\Intel
2007-11-27 16:12 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2007-11-27 16:12 1,064,456 --a------ C:\WINDOWS\system32\MSCOMCTL.OCX
2007-11-27 16:12 645,616 --a------ C:\WINDOWS\system32\MSCOMCT2.OCX
2007-11-27 16:12 446,464 -ra------ C:\WINDOWS\system32\hhactivex.dll
2007-11-27 16:12 328,480 --a------ C:\WINDOWS\system32\ssa3d30.ocx
2007-11-27 16:12 244,417 --a------ C:\WINDOWS\system32\odbcjet.hlp
2007-11-27 16:12 176,128 --a------ C:\WINDOWS\system32\RcdScan.dll
2007-11-27 16:12 8,198 --a------ C:\WINDOWS\system32\odbcjet.cnt
2007-11-27 16:11 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-11-27 14:57 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht
.
2007-11-27 14:09 --------- d-----w C:\Programme\microsoft frontpage
2007-11-27 14:07 --------- d-----w C:\Programme\Online-Dienste
2007-11-27 14:06 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-11-27 14:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-10-20 00:56 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-10-20 00:56 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-10-20 00:56 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-10-20 00:56 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-10-20 00:56 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-10-20 00:56 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-10-20 00:56 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-10-20 00:56 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-10-20 00:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-10-20 00:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-10-20 00:54 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-10-20 00:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-10-20 00:54 739,840 ----a-w C:\WINDOWS\system32\DivX.dll
2007-10-20 00:54 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-10-18 09:06 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-10-18 09:03 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-10-18 09:03 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-10-18 09:03 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-10-18 09:03 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-10-18 09:03 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-10-18 09:03 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-10-18 09:02 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-09-04 17:56 164,352 ----a-w C:\WINDOWS\system32\unrar.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Pop-Up-Blocker"="" []
"TransparentIcons"="" []
"BlockAds"="" []
"Tweak-XP"="" []
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2005-02-22 13:35 C:\WINDOWS\system32\nwiz.exe]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\QuickSet.exe" [2005-02-07 16:12]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2004-09-13 11:33]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 17:48]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-27 17:40]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2005-03-16 05:33]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 16:50]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-11-27 19:36:43]
Microsoft Office.lnk - F:\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
C:\Programme\Intel\Wireless\Bin\LgNotify.dll 2004-09-07 16:08 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk
backup=C:\WINDOWS\pss\Bluetooth Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

*Newly Created Service* - CATCHME
.
******

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2007-11-27 20:31:21
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

******************
.
Zeit der Fertigstellung: 2007-11-27 20:31:47
.
--- E O F ---

* HijackThis - Scan

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:27:37, on 27.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Dell\QuickSet\QuickSet.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
f:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Microsoft Windows Update
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = F:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1196178336218
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 5419 bytes

* MWAV (eScan) - Free Antivirus

~~~~~~~~~~~~
Header
~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.6
Sprache: German
Virus-Datenbank Datum: 11/27/2007

~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~
Dateien
~~~~~~~~~
~~~~ Infected files
~~~~~~~~
~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~
Ordner
~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\k-lite codec pack\tools
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\k-lite codec pack\tools
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~
~~~~~~~~
Prozesse und Module
~~~~~~~~
~~~~~~~~
Scanfehler
~~~~~~~~
~~~~~~~~
Hosts-Datei
~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts
~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 65643
Gefundene Viren: 3
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 129
Dauer des Scans bisher: 00:32:12
~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 20:23:38,89
Batchende: 20:23:43,85

TR/Agent.37376 + TR/Vundo.Gen, Logs added

Log-Analyse und Auswertung: TR/Agent.37376 + TR/Vundo.Gen, Logs added