| |
| |||||||
Log-Analyse und Auswertung: liebe experten bitte um auswertung, vielen dank!!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
18.12.2007, 15:07
| #1 |
 |  liebe experten bitte um auswertung, vielen dank!! Logfile of HijackThis v1.99.1 Scan saved at 14:51:57, on 18.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\service32.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\system32\igfxsrvc.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Ares\Ares.exe C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe F:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ares] "C:\Programme\Ares\Ares.exe" -h O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: p6_19_erinnerung.lnk = C:\Programme\phase6\phase6_19_download\WinStart\p6erinnerung.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe |
|
18.12.2007, 15:29
| #2 |
| | liebe experten bitte um auswertung, vielen dank!! Hallo, ist dir irgentwas aufgefallen?
__________________(Ist dir irgentetwas in letzter zeit aufgefallen sprich: auf deinen PC : langsamer etc.) Und dein System SP ... Und du kannst schonmal das hier C:\WINDOWS\service32.exe bei www.Virustotal.com hochladen und das Ergebnis Posten.
__________________ |
|
18.12.2007, 15:50
| #3 |
| | liebe experten bitte um auswertung, vielen dank!! hallo, danke für die schnelle antwort,es ist nicht mein pc, sondern der der tochter einer unserer kunden
__________________ also fehlberbeschreibung: windows fährt hoch, fehlermeldung erscheint: winows wird heruntergefahren...innerhalb von 60 sekunden ... ausgelöst durch nt/autorität system.. also wie beim sasser damals. (hieß der so??) hier das virus total ergebnis: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.12.18.11 2007.12.18 Win-Trojan/Polycrypt.12087 AntiVir 7.6.0.45 2007.12.18 TR/Crypt.XPACK.Gen Authentium 4.93.8 2007.12.18 - Avast 4.7.1098.0 2007.12.17 - AVG 7.5.0.503 2007.12.17 Win32/PolyCrypt BitDefender 7.2 2007.12.18 Trojan.Dropper.Small.NCK CAT-QuickHeal 9.00 2007.12.17 Trojan.PolyCrypt.d ClamAV 0.91.2 2007.12.18 - DrWeb 4.44.0.09170 2007.12.18 Trojan.Packed.166 eSafe 7.0.15.0 2007.12.17 Win32.PolyCrypt.d eTrust-Vet 31.3.5385 2007.12.18 - weitere Informationen File size: 12087 bytes MD5: fe87b5d36ca84b100989cde557d10c9b SHA1: 12cb18c58517a48b419d45f86fa88728692fae02 PEiD: - |
|
18.12.2007, 15:52
| #4 |
| | liebe experten bitte um auswertung, vielen dank!! Alsooo: ~> Versteckte Dateiuen & Ordner sichtbar machen. 1) - eScan auführen & Bericht Posten 2) - Combofix ausführen & Bericht Posten
__________________ Gruß 11Boy  |
|
20.12.2007, 10:17
| #5 |
| | liebe experten bitte um auswertung, vielen dank!! hi, sorry dass es etwas länger gedauert hat,war gestern im außendienst: also hier der escan logfile: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.6.2 Sprache: German Virus-Datenbank Datum: 12/12/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "rewardnet Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "rewardnet Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "rewardnet Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "rewardnet Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with rewardnet Spyware/Adware ({3e22694d-7b92-42a1-89a7-668e2f7aa107})! Action taken: Keine Aktion vorgenommen. System found infected with rewardnet Spyware/Adware ({453a51cc-f944-4643-9540-a78253b8019c})! Action taken: Keine Aktion vorgenommen. System found infected with rewardnet Spyware/Adware ({ad13ffc0-ba5d-4b6c-acbf-d1c44d0da9b5})! Action taken: Keine Aktion vorgenommen. System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen. System found infected with rewardnet Spyware/Adware ({10770beb-5afa-4851-b68e-ee891f3dee7f})! Action taken: Keine Aktion vorgenommen. System found infected with rewardnet Spyware/Adware ({7adfdfcf-8b4e-42a2-b458-3ca6f2db7fe4})! Action taken: Keine Aktion vorgenommen. System found infected with rewardnet Spyware/Adware ({ad13ffc0-ba5d-4b6c-acbf-d1c44d0da9b5})! Action taken: Keine Aktion vorgenommen. System found infected with win32.guzu.b Virus (service32.exe)! Action taken: Keine Aktion vorgenommen. System found infected with smitfraud Browser Hijacker (svcp.csv)! Action taken: Keine Aktion vorgenommen. System found infected with smitfraud Browser Hijacker (winsub.xml)! Action taken: Keine Aktion vorgenommen. System found infected with killav.nbd Browser Hijacker (C:\Programme\ares\ares.exe)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\run/icq lite)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\service32.exe infiziert von "Packed.Win32.PolyCrypt.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\service32.exe infiziert von "Packed.Win32.PolyCrypt.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\SYSHOST.DLL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\User\mkubhc.exe infiziert von "Packed.Win32.PolyCrypt.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{DABBBEC3-5801-4F47-BAD0-008866592FFE}\RP148\A0048352.DLL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{DABBBEC3-5801-4F47-BAD0-008866592FFE}\RP148\A0048386.DLL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{DABBBEC3-5801-4F47-BAD0-008866592FFE}\RP148\A0048394.DLL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{DABBBEC3-5801-4F47-BAD0-008866592FFE}\RP148\A0048401.DLL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{DABBBEC3-5801-4F47-BAD0-008866592FFE}\RP148\A0048408.DLL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{DABBBEC3-5801-4F47-BAD0-008866592FFE}\RP148\A0048415.DLL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\service32.exe infiziert von "Packed.Win32.PolyCrypt.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\SYSHOST.DLL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\alte Daten Laptop\C_MyBrain\Dokumente und Einstellungen\Albrecht\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\alte Daten Laptop\C_MyBrain\Dokumente und Einstellungen\Default User\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei D:\alte Daten Laptop\C_MyBrain\WINDOWS\system32\config\systemprofile\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\service32.exe Offending file found: C:\WINDOWS\system32\svcp.csv Offending file found: C:\WINDOWS\system32\winsub.xml Offending file found: C:\Programme\ares\ares.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKCR\litex.liteconnection !!! Offending Key found: HKCR\litex.liteconnection.1 !!! Offending Key found: HKCR\litex.litestatement !!! Offending Key found: HKCR\litex.litestatement.1 !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{03477db0-41c2-11dc-8c5e-0019d175ae2f} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0720ab0a-4677-11dc-8c79-0019d175ae2f} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0e9cfd64-41d5-11dc-8c5b-0019d175ae2f} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0e9cfd72-41d5-11dc-8c5b-0019d175ae2f} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{22bb6226-40c1-11dc-8c57-0019d175ae2f} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{22bb6228-40c1-11dc-8c57-0019d175ae2f} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{28308099-557d-11dc-8caa-0019d175ae2f} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{430ac516-6e8a-11dc-8d05-0019d175ae2f} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6bbcac62-579d-11dc-8cb4-0019d175ae2f} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{83c9cd0e-5562-11dc-8ca9-0019d175ae2f} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8da4b232-311b-11dc-8c44-0019d175ae2f} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{aec1042c-6139-11dc-8cd4-0019d175ae2f} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{aec1042d-6139-11dc-8cd4-0019d175ae2f} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b50e3992-4674-11dc-8c76-0019d175ae2f} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Executable Command Found in {22bb6226-40c1-11dc-8c57-0019d175ae2f}\Shell\Autoplay\DropTarget\AutoRun\command: setup.exe Executable Command Found in {22bb6228-40c1-11dc-8c57-0019d175ae2f}\Shell\Autoplay\DropTarget\AutoRun\command: setup.exe ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 185093 Gefundene Viren: 45 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 59 Dauer des Scans bisher: 00:30:23 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 16:28:30,71 Batchende: 16:28:35,67 ----------------------------- bei combofix wusste ich nicht was ich da posten sollte, poste jetzt beide logfiles die combofix erstellt hat: combofix logfile 1: ComboFix 07-12-19.2 - User 2007-12-19 16:29:23.1 - NTFSx86 NETWORK Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.596 [GMT 1:00] ausgeführt von:: F:\escan\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\User.\aria.txt C:\WINDOWS\regedit.com C:\WINDOWS\system32\svcp.csv C:\WINDOWS\system32\taskmgr.com C:\WINDOWS\system32\winsub.xml C:\WINDOWS\system32\xpdx.sys . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\xpdx ((((((((((((((((((((((( Dateien erstellt von 2007-11-19 bis 2007-12-19 )))))))))))))))))))))))))))))) . 2007-12-19 09:09 . 2007-12-19 09:09 <DIR> d-a------ C:\WINDOWS\zts2.exe 2007-12-19 09:09 . 2007-12-19 09:09 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2007-12-19 09:09 . 2007-12-19 09:09 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2007-12-19 09:09 . 2007-12-19 09:09 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2007-12-19 09:09 . 2007-12-19 09:09 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2007-12-19 09:09 . 2007-12-19 09:09 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2007-12-19 09:09 . 2007-12-19 09:10 5,199,117 --a------ C:\WINDOWS\REGBK00.ZIP 2007-12-19 09:09 . 2007-12-19 09:09 26 --a------ C:\WINDOWS\Lic.xxx 2007-12-19 09:08 . 2004-08-04 13:00 153,600 --a------ C:\WINDOWS\R.COM 2007-12-19 09:08 . 2004-08-04 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM 2007-12-18 12:36 . 2007-12-19 16:36 5,120 --a------ C:\WINDOWS\SYSHOST.DLL 2007-12-10 18:12 . 2007-12-10 18:12 <DIR> d-------- C:\T-Online_Software_6 2007-11-22 20:37 . 2007-11-22 20:37 584 --a------ C:\WINDOWS\eReg.dat . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-16 15:33 --------- d-----w C:\Programme\ICQToolbar 2007-12-10 18:32 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\Canon 2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-11-22 19:31 --------- d-----w C:\Programme\Maxis 2007-11-22 19:30 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-11-08 18:26 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-10-22 18:05 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\SecuROM 2007-10-22 17:59 --------- d-----w C:\Programme\phase6 2007-10-20 08:34 --------- d-----w C:\Programme\ICQLite 2007-08-21 09:11 12,087 ----a-w C:\Dokumente und Einstellungen\User\mkubhc.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55] "ares"="C:\Programme\Ares\Ares.exe" [2007-07-16 22:54] "T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 16:50] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-04-20 06:57] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-04-20 06:57] "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-04-20 06:57] "SigmatelSysTrayApp"="sttray.exe" [] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 14:40] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00] "InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-01-16 10:56] "T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 16:50] R0 stmtpm;STM TPM Service;C:\WINDOWS\system32\DRIVERS\stm_tpm.sys [2006-05-19 10:14] R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 15:16] R3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 07:14] S3 celmkt;celmkt;C:\WINDOWS\system32\Drivers\celmkt.sys [2007-02-08 13:45] S3 hwdatacard;Huawei DataCard USB Modem and USB Serial;C:\WINDOWS\system32\DRIVERS\ewusbmdm.sys [2006-10-02 14:01] S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 13:03] S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 13:46] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{03477db0-41c2-11dc-8c5e-0019d175ae2f}] \Shell\AutoRun\command - F:\VMC_PBStarter.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0720ab0a-4677-11dc-8c79-0019d175ae2f}] \Shell\AutoRun\command - F:\VMC_PBStarter.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e9cfd64-41d5-11dc-8c5b-0019d175ae2f}] \Shell\AutoRun\command - F:\VMC_PBStarter.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e9cfd72-41d5-11dc-8c5b-0019d175ae2f}] \Shell\AutoRun\command - H:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22bb6226-40c1-11dc-8c57-0019d175ae2f}] \Shell\AutoRun\command - setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22bb6228-40c1-11dc-8c57-0019d175ae2f}] \Shell\AutoRun\command - setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28308099-557d-11dc-8caa-0019d175ae2f}] \Shell\AutoRun\command - F:\VMC_PBStarter.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{430ac516-6e8a-11dc-8d05-0019d175ae2f}] \Shell\AutoRun\command - F:\VMC_PBStarter.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6bbcac62-579d-11dc-8cb4-0019d175ae2f}] \Shell\AutoRun\command - F:\VMC_PBStarter.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{83c9cd0e-5562-11dc-8ca9-0019d175ae2f}] \Shell\AutoRun\command - F:\VMC_PBStarter.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8da4b232-311b-11dc-8c44-0019d175ae2f}] \Shell\AutoRun\command - F:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aec1042c-6139-11dc-8cd4-0019d175ae2f}] \Shell\AutoRun\command - F:\VMC_PBStarter.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aec1042d-6139-11dc-8cd4-0019d175ae2f}] \Shell\AutoRun\command - F:\VMC_PBStarter.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b50e3992-4674-11dc-8c76-0019d175ae2f}] \Shell\AutoRun\command - F:\VMC_PBStarter.exe . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-19 16:36:23 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "T-Online_Software_6\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized" . Zeit der Fertigstellung: 2007-12-19 16:37:08 - machine was rebooted . 2007-12-13 22:37:54 --- E O F --- ---------------------------------------- combofix logile 2: 2004-08-04 13:00 140800 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\TASKMGR.COM.vir 2004-08-04 13:00 153600 --a------ C:\Qoobox\Quarantine\C\WINDOWS\REGEDIT.COM.vir 2007-08-08 20:50 0 --a------ C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\User\aria.txt.vir 2007-08-19 22:17 4 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\winsub.xml.vir 2007-08-19 22:17 62 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\svcp.csv.vir 2007-11-28 17:58 54046 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\xpdx.sys.vir 2007-12-19 16:30 296 --a------ C:\Qoobox\Quarantine\catchme.log 2007-12-19 16:30 53670 --a------ C:\Qoobox\Quarantine\catchme2007-12-19_163613.17.zip 2007-12-19 16:30 74 --a------ C:\Qoobox\Quarantine\Registry_backups\services_xpdx.reg.dat 2007-12-19 16:31 2543 --a------ C:\Qoobox\Quarantine\C\ComboFix\errdbg.dat.vir |
|
20.12.2007, 12:28
| #6 |
| | liebe experten bitte um auswertung, vielen dank!! könnte bitte nochmal jemand nen blick drüberwerfen?? gibts ein hotfix für "Packed.Win32.PolyCrypt.d" ? |
|
20.12.2007, 12:33
| #7 |
| | liebe experten bitte um auswertung, vielen dank!! edit: bzw gibts es iwelche hotfixe für die ganzen anderen viren die da drauf sind? |
|
20.12.2007, 13:46
| #8 |
 | liebe experten bitte um auswertung, vielen dank!! Wow... da ist einiges an Schädlingen drauf zum Teil mit Backdooreigenschaften. Zu allem Überfluss ist die Systemwiderherstellung verseucht. Eine Bereinigung würde (falls erfolgreich) dem System den Teppich unter dem Füßen wegziehen. Da ist wirklich nur noch ein Neuaufsetzen empfehlenswert. * System neu aufsetzen mit anschließender Absicherung Anschließend bitte die Passwörter ändern . . . mfg Cleriker |
|
20.12.2007, 15:21
| #9 |
| | liebe experten bitte um auswertung, vielen dank!! vielen dank für die hilfe , hab mir schon gedacht dass bei dem befall wohl nichts andres übrig bleibt. nur aus intresse, was ist außer dem polycript noch so drau bzw wie sind die alle darauf gekommen? |
|
20.12.2007, 17:03
| #10 |
| | liebe experten bitte um auswertung, vielen dank!! Ähm... Das sind die ersten, die mir ins Auge fallen... - Packed.Win32.PolyCrypt.d - Trojan-Clicker.Win32.Small.kj - kasserver.com - rundll16.exe mfg Cleriker |
|
20.12.2007, 17:38
| #11 |
 | liebe experten bitte um auswertung, vielen dank!! Hallo ein Rootkit hätte ich noch zu bieten C:\WINDOWS\system32\xpdx.sys xpdx.sys - Program Information MFG |
|
| Themen zu liebe experten bitte um auswertung, vielen dank!! |
| adapter, adobe, antivirus, auswertung, avast, avast!, bho, dateien, download, explorer, hijack, hijackthis, internet, internet explorer, logfile, messenger, microsoft, msn, object, pdf, programme, server, shockwave, software, system, t-online, urlsearchhook, vielen dank, windows, windows xp |
Linear-Darstellung
