firewall meldet sich andauernd

Vuni1337 · 19.02.2008, 18:08

guten abend liebe com.

seit einiger zeit meldet sich meien firewall (immer so gegen 18 uhr) dass ein unbekannter prozess daten nach "hause" schickt....

habe leider nix gefunden, und meine anti spy und adware progs auch nicht...

habe hier mal eien logfile vllt findet ihr was?

hoffe es kann mir jemand helfen weil mein internet bricht deswegen andauernd ab...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:07:18, on 19.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\Ati2evxx.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\Ati2evxx.exe
J:\WINDOWS\system32\ZoneLabs\vsmon.exe
J:\WINDOWS\Explorer.EXE
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
D:\Programme\Alwil Software\Avast4\ashServ.exe
J:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
D:\Programme\cFosSpeed.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
J:\WINDOWS\CTHELPER.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
J:\WINDOWS\system32\brsvc01a.exe
J:\WINDOWS\system32\brss01a.exe
J:\WINDOWS\system32\spoolsv.exe
J:\WINDOWS:winxpupdate.bat
J:\Programme\VisualTaskTips\VisualTaskTips.exe
D:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
J:\WINDOWS\system32\ctfmon.exe
J:\Programme\Bonjour\mDNSResponder.exe
J:\WINDOWS\system32\Brmfrmps.exe
J:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
D:\Programme\spd.exe
J:\WINDOWS\system32\CTsvcCDA.EXE
J:\WINDOWS\SYSTEM32\CTXFISPI.EXE
D:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
J:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
J:\WINDOWS\system32\oodag.exe
J:\WINDOWS\system32\svchost.exe
D:\Programme\UPHClean\uphclean.exe
D:\Programme\Alwil Software\Avast4\ashWebSv.exe
D:\PROGRA~1\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = J:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = J:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von NetCologne
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - J:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - J:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [AudioDrvEmulator] "J:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "J:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [cFosSpeed] D:\Programme\cFosSpeed.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [The sharK Project] J:\WINDOWS:winxpupdate.bat
O4 - HKCU\..\Run: [VisualTaskTips] J:\Programme\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [UberIcon] "D:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [ctfmon.exe] J:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SharK] J:\WINDOWS:winxpupdate.bat
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: UberIcon.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.internetcologne.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC1D6E74-7266-438A-8CE7-A7930008EFB3}: NameServer = 213.168.112.60 194.8.194.60
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - J:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - J:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - J:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - J:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - J:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - J:\WINDOWS\system32\brsvc01a.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - J:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - D:\Programme\spd.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - J:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - J:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - J:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - J:\Programme\iPod\bin\iPodService.exe
O23 - Service: MySQL - Unknown owner - D:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - J:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NMIndexingService - Nero AG - J:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - J:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - J:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - J:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8713 bytes

Franz1968 · 19.02.2008, 19:07

Das

Zitat:

Zitat von Vuni1337

J:\WINDOWS:winxpupdate.bat
O4 - HKLM\..\Run: [The sharK Project] J:\WINDOWS:winxpupdate.bat

wird der Bösewicht sein, in Gestalt eines ADS (vereinfacht gesagt ein "Anhang" an einer Datei oder einem Ordner). Mache Folgendes (nach einer Anleitung von KarlKarl)

1. Lade dir catchme und schreibe die catchme.exe nach J:

2. Öffne die Eingabeaufforderung (Start -> Ausführen -> cmd) und gib den folgenden Befehl ein:

Code:

ATTFilter

J:\catchme.exe -c J:\WINDOWS:winxpupdate.bat J:\bad.file

anschließend "enter" drücken

3. Du solltest jetzt eine Datei J:\bad.file vorfinden, das ist eine Kopie des ADS. Diese lädst du auf Virustotal hoch, lässt sie dort scannen und postest im Anschluss das Ergebnis (das sich leider bereits erahnen lässt

).

Vuni1337 · 19.02.2008, 19:17

erstmal vielen dank für die antwort

habe es so gemacht wie du geschrieben hsat aber cmd sagt:" read file error: WINDOWS:winxpupdate.bat das system kann die angegebene datei nicht finden".

Franz1968 · 19.02.2008, 19:22

Du hast nicht zufällig

Code:

ATTFilter

D:\WINDOWS:winxpupdate.bat

geschrieben/kopiert?

Richtig wäre

Code:

ATTFilter

J:\WINDOWS:winxpupdate.bat

Vuni1337 · 19.02.2008, 19:25

nein habe J:\WINDOWS:winxpupdate.bat geschrieben =)

Franz1968 · 19.02.2008, 19:39

Na klasse. Das ist dann wohl die gerechte Strafe für mich dafür, dass ich etwas empfehle, was ich nicht ausprobiert habe.

Dann besorge dir Combofix, deaktiviere vorübergehend den Wächter deines AV-Programms, lasse Combofix scannen und unternimm währenddessen nichts am Rechner. Er wird möglicherweise neu starten; im Anschluss poste das Logfile von Combofix.

Vuni1337 · 19.02.2008, 19:47

hehe passt schon^^

werde das andre ausprobieren, danke =)

Vuni1337 · 19.02.2008, 20:01

so hier ist die log file:

ComboFix 08-02-20.1 - Lostprophet 2008-02-19 19:52:30.1 - NTFSx86
ausgeführt von:: J:\Dokumente und Einstellungen\Lostprophet\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

J:\WINDOWS\regedit.com
J:\WINDOWS\setup.exe
J:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-20 bis 2008-02-20 ))))))))))))))))))))))))))))))
.

2008-02-19 19:14 . 2008-02-19 19:14 0 --a------ J:\bad.file
2008-02-19 19:11 . 2008-02-19 19:11 142,336 --a--c--- J:\catchme.exe
2008-02-19 18:23 . 2008-02-15 22:20 500 --a------ J:\bootini.ins
2008-02-19 18:09 . 2008-02-19 18:22 <DIR> d----c--- J:\Programme\Gemeinsame Dateien\MicroWorld
2008-02-19 18:09 . 2008-02-19 18:09 <DIR> d-------- J:\Dokumente und Einstellungen\remoteservice\Vorlagen
2008-02-19 18:09 . 2008-02-19 18:09 <DIR> d-------- J:\Dokumente und Einstellungen\remoteservice\Startmenü
2008-02-19 18:09 . 2008-02-19 18:09 <DIR> d-------- J:\Dokumente und Einstellungen\remoteservice\Favoriten
2008-02-19 18:09 . 2008-02-19 18:09 <DIR> d-------- J:\Dokumente und Einstellungen\remoteservice\Dokumente
2008-02-19 18:09 . 2008-02-19 18:09 <DIR> d-------- J:\Dokumente und Einstellungen\remoteservice\Anwendungsdaten
2008-02-19 18:09 . 2008-02-19 18:09 <DIR> d----c--- J:\Dokumente und Einstellungen\LocalService\Vorlagen
2008-02-19 18:09 . 2008-02-19 18:09 <DIR> d----c--- J:\Dokumente und Einstellungen\LocalService\Startmenü
2008-02-19 18:09 . 2008-02-19 18:09 <DIR> d----c--- J:\Dokumente und Einstellungen\LocalService\Favoriten
2008-02-19 18:09 . 2008-02-19 18:09 <DIR> d----c--- J:\Dokumente und Einstellungen\LocalService\Dokumente
2008-02-19 13:46 . 2008-02-19 18:10 520,224 --ahs---- J:\WINDOWS\system32\drivers\fidbox.dat
2008-02-19 13:46 . 2008-02-19 18:10 10,304 --ahs---- J:\WINDOWS\system32\drivers\fidbox.idx
2008-02-19 13:43 . 2008-02-19 13:43 <DIR> d-------- J:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-02-19 13:43 . 2008-02-19 13:44 4,212 ---h----- J:\WINDOWS\system32\zllictbl.dat
2008-02-19 00:50 . 1998-05-05 00:00 112,640 --a------ J:\WINDOWS\system32\CMCTLDE.DLL
2008-02-18 10:15 . 2008-02-18 10:15 1,296,447 --a--c--- J:\Dokumente und Einstellungen\Lostprophet\Anwendungsdaten\1.exe
2008-02-17 23:05 . 2008-02-17 23:05 52,224 --a------ J:\WINDOWS\system32\jpg.dll
2008-02-17 23:05 . 2008-02-17 23:05 28,160 --a------ J:\WINDOWS\system32\zlib.dll
2008-02-16 20:09 . 2008-02-16 20:09 <DIR> d-------- J:\WINDOWS\vbSkinner
2008-02-16 20:08 . 2007-01-08 12:32 3,186,688 --a------ J:\WINDOWS\system32\TAIPAP45.dll
2008-02-16 20:08 . 2007-01-08 12:35 2,121,728 --a------ J:\WINDOWS\system32\THBImE45.dll
2008-02-16 20:08 . 2007-01-08 12:32 671,744 --a------ J:\WINDOWS\system32\libgfl236.dll
2008-02-16 20:08 . 2007-01-08 12:32 237,568 --a------ J:\WINDOWS\system32\HtmlSnap2.dll
2008-02-16 20:08 . 2007-01-08 12:33 229,376 --a------ J:\WINDOWS\system32\XDockFloat.dll
2008-02-16 20:08 . 2007-01-08 12:32 200,704 --a------ J:\WINDOWS\system32\TlLayerMngr.dll
2008-02-16 20:08 . 2007-01-08 12:33 192,512 --a------ J:\WINDOWS\system32\libgfle236.dll
2008-02-16 20:08 . 2007-01-08 12:32 180,224 --a------ J:\WINDOWS\system32\ijl11.dll
2008-02-16 20:08 . 2007-01-08 12:35 75,776 --a------ J:\WINDOWS\system32\tlpsdload.dll
2008-02-16 20:08 . 2007-01-08 12:35 27,136 --a------ J:\WINDOWS\system32\Flash Button ver 2.0.ocx
2008-02-16 20:07 . 2007-01-08 12:36 412,672 --a------ J:\WINDOWS\system32\vbskpro2.ocx
2008-02-16 20:07 . 2007-01-08 12:34 244,416 --a------ J:\WINDOWS\system32\MSFLXGRD.OCX
2008-02-16 20:07 . 2007-01-08 12:32 49,152 --a------ J:\WINDOWS\system32\XButton.ocx
2008-02-16 19:58 . 2006-12-19 17:49 1,056,768 --a------ J:\WINDOWS\system32\ROBOEX32.DLL
2008-02-16 19:58 . 2006-12-19 17:49 49,152 --a------ J:\WINDOWS\system32\INETWH32.DLL
2008-02-16 19:58 . 2006-12-19 17:49 28,672 --a------ J:\WINDOWS\system32\nnr.dll
2008-02-15 22:12 . 2008-02-15 22:10 691,545 --a------ J:\WINDOWS\unins000.exe
2008-02-15 22:12 . 2008-02-15 22:12 3,457 --a------ J:\WINDOWS\unins000.dat
2008-02-15 15:32 . 2006-08-09 20:58 218,624 --a------ J:\WINDOWS\system32\uxtheme.backup
2008-02-15 15:23 . 2008-02-15 15:23 <DIR> d-------- J:\WINDOWS\Mozilla
2008-02-15 15:23 . 2008-02-15 15:23 3,323 --a------ J:\WINDOWS\manifest.ini
2008-02-15 15:23 . 2008-02-15 15:23 0 --a------ J:\WINDOWS\permdata.box
2008-02-15 14:45 . 2008-02-15 14:45 3,932,214 --a------ J:\WINDOWS\BricoPack Wallpaper.bmp
2008-02-15 14:45 . 2008-02-15 14:45 63,937 --a------ J:\WINDOWS\BricoPackUninst.cmd
2008-02-15 14:44 . 2008-02-15 14:45 6,120 --a------ J:\WINDOWS\BricoPackFoldersDelete.cmd
2008-02-15 14:43 . 2008-02-15 14:43 <DIR> d-------- J:\WINDOWS\BricoPacks
2008-02-13 18:23 . 2008-02-13 23:11 <DIR> d-------- J:\WINDOWS\Downloaded Installations
2008-02-13 14:39 . 2008-02-13 14:39 <DIR> d-------- J:\WINDOWS\system32\AsBackup
2008-02-13 14:36 . 2008-02-13 14:36 43,064 --a------ J:\WINDOWS\system32\PUXPPLAT.UND
2008-02-13 14:07 . 2007-04-17 10:32 2,455,488 -----c--- J:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-02-13 14:07 . 2007-03-08 06:09 1,040,384 -----c--- J:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-02-13 14:03 . 2008-02-13 14:03 <DIR> d--hs---- J:\WINDOWS\ftpcache
2008-02-08 19:51 . 2008-02-08 19:56 139,264 --a------ J:\WINDOWS\War3Unin.exe
2008-02-08 19:51 . 2008-02-08 20:00 75,325 --a------ J:\WINDOWS\War3Unin.dat
2008-02-08 19:51 . 2008-02-08 19:56 2,829 --a------ J:\WINDOWS\War3Unin.pif
2008-02-03 18:44 . 2008-02-03 18:50 <DIR> d----c--- J:\Dokumente und Einstellungen\Lostprophet\Anwendungsdaten\Meine Der Herr der Ringe™, Aufstieg des Hexenkönigs™-Dateien
2008-02-03 17:16 . 2008-02-03 17:19 <DIR> d----c--- J:\Dokumente und Einstellungen\Lostprophet\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-01-25 19:55 . 2008-02-15 22:20 2,278,400 --a------ J:\WINDOWS\system32\TUKernel.exe
2008-01-25 16:24 . 2008-02-15 15:32 <DIR> d-------- J:\WINDOWS\VistaMizer
2008-01-25 16:24 . 2008-01-25 16:24 <DIR> d----c--- J:\Programme\VisualTaskTips
2008-01-25 16:24 . 2008-02-15 15:32 8,294,454 --a------ J:\WINDOWS\startup.bmp
2008-01-24 17:23 . 2008-01-24 17:23 <DIR> d----c--- J:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-01-23 16:51 . 2008-01-23 16:51 <DIR> d----c--- J:\Programme\QuickTime
2008-01-23 16:35 . 2007-02-28 17:02 2,138,624 --a------ J:\WINDOWS\system32\ntoskrnl.exe.zottel
2008-01-23 16:35 . 2007-02-28 17:02 2,018,304 --a------ J:\WINDOWS\system32\ntkrnlpa.exe.zottel
2008-01-23 16:09 . 2008-01-23 16:19 <DIR> d-------- J:\WINDOWS\VCP_TEMP
2008-01-23 16:09 . 2008-01-23 16:19 <DIR> d-------- J:\WINDOWS\VCP_SAVE
2008-01-23 10:55 . 2008-01-23 10:55 1,142 --a------ J:\WINDOWS\mozver.dat
2008-01-22 17:08 . 2007-02-20 16:04 2,463,976 --a------ J:\WINDOWS\system32\NPSWF32.dll
2008-01-22 17:08 . 2007-02-20 16:04 190,696 --a------ J:\WINDOWS\system32\NPSWF32_FlashUtil.exe
2008-01-22 15:41 . 2008-01-22 15:41 <DIR> d----c--- J:\Dokumente und Einstellungen\Lostprophet\.DownloadManager
2008-01-21 21:26 . 2008-01-21 21:26 306,432 --a------ J:\WINDOWS\system32\TuneUpDefragService.exe
2008-01-21 16:26 . 2008-01-21 16:26 <DIR> d----c--- J:\Dokumente und Einstellungen\Lostprophet\Anwendungsdaten\Styler
2008-01-21 15:53 . 2008-01-21 15:53 <DIR> d----c--- J:\Dokumente und Einstellungen\Lostprophet\Anwendungsdaten\ViStart

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-19 18:42 --------- dc----w J:\Dokumente und Einstellungen\Lostprophet\Anwendungsdaten\ICQ
2008-02-19 17:09 94,736 ----a-w J:\WINDOWS\winsbak2.reg
2008-02-19 17:09 12,946 ----a-w J:\WINDOWS\winsbak.reg
2008-02-18 22:55 --------- dc----w J:\Dokumente und Einstellungen\Lostprophet\Anwendungsdaten\teamspeak2
2008-02-18 09:15 1,058,304 -c--a-w J:\Dokumente und Einstellungen\Lostprophet\Anwendungsdaten\kernel33.dll
2008-02-16 23:50 --------- dc-h--w J:\Programme\InstallShield Installation Information
2008-02-16 20:26 --------- dc----w J:\Dokumente und Einstellungen\Lostprophet\Anwendungsdaten\Azureus
2008-02-15 21:45 --------- d-----w J:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RFA_Backups
2008-02-15 21:16 --------- d-----w J:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-15 15:06 --------- dc----w J:\Dokumente und Einstellungen\Lostprophet\Anwendungsdaten\FrostWire
2008-02-15 14:32 218,624 ----a-w J:\WINDOWS\system32\uxtheme.dll
2008-02-12 18:57 --------- dc----w J:\Dokumente und Einstellungen\Lostprophet\Anwendungsdaten\Smart Recorder
2008-02-07 18:52 --------- dc----w J:\Programme\Gemeinsame Dateien\Marmiko Shared
2008-02-04 16:49 12,632 ----a-w J:\WINDOWS\system32\lsdelete.exe
2008-01-30 20:41 --------- dc----w J:\Programme\Gemeinsame Dateien\Adobe
2008-01-26 18:03 --------- dc----w J:\Dokumente und Einstellungen\Lostprophet\Anwendungsdaten\Bioshock
2008-01-25 18:45 --------- dc----w J:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-01-23 15:51 --------- d-----w J:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-01-21 22:09 --------- dc----w J:\Programme\Gemeinsame Dateien\Dienste
2008-01-21 20:27 --------- dc----w J:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-17 18:04 --------- dc----w J:\Programme\MailOut
2008-01-17 18:04 --------- dc----w J:\Programme\Gemeinsame Dateien\Borland Shared
2008-01-17 18:03 --------- dc----w J:\Programme\mresreg
2008-01-05 19:36 --------- dc----w J:\Dokumente und Einstellungen\Lostprophet\Anwendungsdaten\Hamachi
2008-01-05 19:31 25,544 ----a-w J:\WINDOWS\system32\drivers\hamachi.sys
2008-01-03 14:16 43,520 ----a-w J:\WINDOWS\system32\CmdLineExt03.dll
2007-12-29 18:25 --------- dc----w J:\Programme\Batman
2007-12-29 18:09 --------- dc----w J:\Dokumente und Einstellungen\Lostprophet\Anwendungsdaten\Media Player Classic
2007-12-27 18:59 --------- dc----w J:\Dokumente und Einstellungen\Lostprophet\Anwendungsdaten\AD ON Multimedia
2007-12-20 09:41 29,440 ----a-w J:\WINDOWS\system32\uxtuneup.dll
2007-12-15 21:44 413,696 ----a-w J:\WINDOWS\system32\wrap_oal.dll
2007-12-15 21:44 110,592 ----a-w J:\WINDOWS\system32\OpenAL32.dll
2007-12-13 18:27 75,248 ----a-w J:\WINDOWS\zllsputility.exe
2007-12-13 18:27 54,672 ----a-w J:\WINDOWS\system32\vsutil_loc0407.dll
2007-12-13 18:27 42,384 ----a-w J:\WINDOWS\zllsputility_loc0407.dll
2007-12-13 18:27 21,904 ----a-w J:\WINDOWS\system32\imsinstall_loc0407.dll
2007-12-13 18:27 17,808 ----a-w J:\WINDOWS\system32\imslsp_install_loc0407.dll
2007-12-13 18:27 1,086,952 ----a-w J:\WINDOWS\system32\zpeng24.dll
2007-12-07 17:28 7,680 ----a-w J:\WINDOWS\system32\ff_vfw.dll
2007-12-07 02:04 815,616 ----a-w J:\WINDOWS\system32\wininet.dll
2007-12-04 18:40 550,912 ----a-w J:\WINDOWS\system32\oleaut32.dll
2007-12-04 13:04 837,496 ----a-w J:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w J:\WINDOWS\system32\AvastSS.scr
2007-11-28 21:55 156,992 ----a-w J:\WINDOWS\system32\DivXCodecVersionChecker.exe
2004-08-04 12:00 60,416 --sha-w J:\WINDOWS\BricoPacks\SysFiles\80_msimn.exe
2007-11-08 21:12 56 --sha-r J:\WINDOWS\system32\680F428305.sys
2007-11-08 21:12 848 --sha-w J:\WINDOWS\system32\KGyGaAvL.sys
2004-08-04 12:00 60,416 -csha-w J:\WINDOWS\system32\dllcache\msimn.exe
.

------- Sigcheck -------

"J:\WINDOWS\system32\wininet.dll"
-c--a-w 824,320 2007-06-27 14:12:37 J:\WINDOWS\$hf_mig$\KB937143-IE7\SP2QFE\wininet.dll
-c--a-w 825,344 2007-08-20 09:48:08 J:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll
----a-w 825,344 2007-10-10 23:20:42 J:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll
----a-w 825,344 2007-12-07 01:41:49 J:\WINDOWS\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll
-c--a-w 662,016 2004-08-04 12:00:00 J:\WINDOWS\ie7\wininet.dll
-c----w 818,688 2006-11-07 19:03:36 J:\WINDOWS\ie7updates\KB937143-IE7\wininet.dll
-c--a-w 823,808 2007-06-27 14:05:57 J:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll
-c--a-w 824,832 2007-08-20 09:55:34 J:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll
-c----w 824,832 2007-10-10 23:46:52 J:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll
----a-w 824,832 2007-12-07 02:04:49 J:\WINDOWS\SoftwareDistribution\Download\a6392b59a1bc192a3f550f786990f99c\sp2gdr\wininet.dll
----a-w 825,344 2007-12-07 01:41:49 J:\WINDOWS\SoftwareDistribution\Download\a6392b59a1bc192a3f550f786990f99c\sp2qfe\wininet.dll
----a-w 815,616 2007-12-07 02:04:49 J:\WINDOWS\system32\wininet.dll
-c--a-w 815,616 2007-12-07 02:04:49 J:\WINDOWS\system32\dllcache\wininet.dll

"J:\WINDOWS\explorer.exe"
----a-w 978,944 2007-06-13 13:21:45 J:\WINDOWS\explorer.exe
----a-w 1,036,288 2007-06-13 13:10:08 J:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
-c----w 1,035,264 2004-08-04 12:00:00 J:\WINDOWS\$NtUninstallKB938828$\explorer.exe
-c--a-w 978,944 2007-06-13 13:21:45 J:\WINDOWS\system32\dllcache\explorer.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VisualTaskTips"="J:\Programme\VisualTaskTips\VisualTaskTips.exe" [2007-09-05 18:20 36352]
"UberIcon"="D:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe" [2006-05-21 08:43 180224]
"ctfmon.exe"="J:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-05-20 14:46 28160 J:\WINDOWS\KHALMNPR.Exe]
"WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 00:38 65536 J:\WINDOWS\system32\WinDSL_MTU.exe]
"AudioDrvEmulator"="J:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 17:25 49152]
"cFosSpeed"="D:\Programme\cFosSpeed.exe" [2007-07-09 17:10 838608]
"avast!"="D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"CTHelper"="CTHELPER.EXE" [2005-08-07 23:10 16384 J:\WINDOWS\CTHELPER.EXE]
"ZoneAlarm Client"="D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="J:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 0 (0x0)
"NoFileAssociate"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2007-03-01 14:57 153136 J:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"UberIcon"="D:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"

R1 oreans32;oreans32;J:\WINDOWS\system32\drivers\oreans32.sys [2007-11-10 17:14]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;J:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 17:16]
R2 UxTuneUp;TuneUp Designerweiterung;J:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
R3 ha20x2k;Creative 20X HAL Driver;J:\WINDOWS\system32\drivers\ha20x2k.sys [2005-08-07 22:54]
R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);J:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 03:50]
S3 BrScnUsb;Brother USB Still Image driver;J:\WINDOWS\system32\Drivers\BrScnUsb.sys [2003-12-19 20:15]
S3 C-Dilla;C-Dilla;J:\WINDOWS\system32\drivers\CDANT.SYS [2001-09-10 18:09]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;J:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 09:14]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;J:\WINDOWS\System32\TuneUpDefragService.exe [2008-01-21 21:26]
S3 WinDSLp;%WinDSLp_Desc%;J:\WINDOWS\system32\DRIVERS\WinDSL.sys [2002-02-08 03:50]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-02-17 19:00:00 J:\WINDOWS\Tasks\1-Klick-Wartung.job"
- D:\Programme\TuneUp Utilities 2008\OneClick.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-20 19:53:45
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-20 19:54:10
ComboFix-quarantined-files.txt 2008-02-20 18:54:08
.
2008-02-13 13:34:52 --- E O F ---

Franz1968 · 20.02.2008, 17:53

Ich nehme schwer an, dass dein Rechner mit einem shark infiziert ist und du ihn neu aufsetzen musst, außer Indizien würde ich aber gern einen Beleg dafür finden.

Mache bitte alle versteckten Dateien und Ordner sichtbar.

Gehe zu Virustotal und scanne dort nacheinander die folgenden Dateien:

Zitat:

J:\bootini.ins
J:\Dokumente und Einstellungen\Lostprophet\Anwendungsdaten\1.exe
J:\WINDOWS\system32\jpg.dll
J:\WINDOWS\system32\libgfl236.dll
J:\WINDOWS\system32\libgfle236.dll
J:\WINDOWS\system32\ijl11.dll
J:\WINDOWS\system32\tlpsdload.dll
J:\WINDOWS\system32\ROBOEX32.DLL
J:\WINDOWS\system32\nnr.dll
J:\WINDOWS\War3Unin.exe
J:\WINDOWS\War3Unin.dat
J:\WINDOWS\War3Unin.pif
J:\WINDOWS\system32\TUKernel.exe
J:\Dokumente und Einstellungen\Lostprophet\Anwendungsdaten\kernel33 .dll
J:\WINDOWS\system32\ff_vfw.dll
J:\WINDOWS\system32\680F428305.sys
J:\WINDOWS\system32\drivers\oreans32.sys

Einige davon dürften zu Spielen gehören, aber sicher ist sicher.

Außerdem sollte sich im Ordner J:\Qoobox bzw. in einem Unterordner eine Datei setup.exe befinden; diese bitte auch scannen, aber nicht versehentlich durch einen Doppelklick starten!

Poste im Anschluss jeweils die kompletten Ergebnisse inkl. der MD5- und SHA1-Werte.

cosinus · 20.02.2008, 17:58

Also ich bin mir schon ziemlich sicher daß da rootkits werkeln. Vllt. wird Blacklight ja noch fündig. Ich hab jedenfalls dem letzten der eine ähnliche shark-Infektion auch hatte (versteckte Datei im ADS von NTFS) jedenfalls zum Neuaufsetzen geraten...

19.02.2008, 19:22	#4
Franz1968 /// Helfer-Team	firewall meldet sich andauernd Du hast nicht zufällig Code: ATTFilter D:\WINDOWS:winxpupdate.bat geschrieben/kopiert? Richtig wäre Code: ATTFilter J:\WINDOWS:winxpupdate.bat __________________ Alle Tipps und Anleitungen ohne Gewähr

20.02.2008, 17:58	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	firewall meldet sich andauernd Also ich bin mir schon ziemlich sicher daß da rootkits werkeln. Vllt. wird Blacklight ja noch fündig. Ich hab jedenfalls dem letzten der eine ähnliche shark-Infektion auch hatte (versteckte Datei im ADS von NTFS) jedenfalls zum Neuaufsetzen geraten... __________________ Logfiles bitte immer in CODE-Tags posten

firewall meldet sich andauernd

Log-Analyse und Auswertung: firewall meldet sich andauernd