Trojaner Problem "Net-pumper"

Ferrum · 17.03.2008, 21:21

Hallo! habe auch combofix scannen lassen!
Habe leider schon im Vorfeld entdeckt das die Datei "REGSMEMO.exe" und "FACEFA" leider trotzdem gefunden wurden...
Hier das Ergebnis-Logfile:

ComboFix 08-03-14.4 - *** 2008-03-17 21:04:45.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.682 [GMT 1:00]
ausgeführt von:: E:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\Programme\myglobalsearch
E:\Programme\myglobalsearch\bar\History\search

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-17 bis 2008-03-17 ))))))))))))))))))))))))))))))
.

2008-03-15 16:07 . 2008-03-15 16:08 <DIR> d-------- E:\WINDOWS\system32\ActiveScan
2008-03-15 16:07 . 2008-03-15 16:07 30,590 --a------ E:\WINDOWS\system32\pavas.ico
2008-03-15 16:07 . 2008-03-15 16:07 1,406 --a------ E:\WINDOWS\system32\Help.ico
2008-03-05 18:33 . 2008-03-05 18:35 <DIR> d-------- E:\WINDOWS\Internet Logs
2008-03-05 18:33 . 2008-03-05 18:33 <DIR> d-------- E:\Programme\Zone Labs
2008-03-05 17:14 . 2008-03-05 17:34 <DIR> d-------- E:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-03-05 17:14 . 2008-03-05 17:14 <DIR> d-------- E:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Winamp
2008-03-05 16:35 . 2006-05-16 18:52 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-05 16:35 . 2006-05-16 19:47 <DIR> dr------- E:\Dokumente und Einstellungen\Administrator\Startmenü
2008-03-05 16:35 . 2006-05-16 19:47 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-05 16:35 . 2008-03-05 17:35 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-05 16:35 . 2006-05-16 19:47 <DIR> d-------- E:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-05 16:35 . 2006-05-16 19:47 <DIR> d--h----- E:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-05 16:35 . 2008-03-05 17:47 <DIR> dr-h----- E:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-05 16:30 . 2008-03-05 16:30 2,560 --a------ E:\WINDOWS\_MSRSTRT.EXE
2008-03-05 15:49 . 2008-03-17 20:38 <DIR> d-a------ E:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2008-03-05 15:48 . 2008-03-17 14:11 <DIR> d-------- E:\Programme\Spyware Doctor
2008-03-05 15:48 . 2008-03-05 15:48 <DIR> d-------- E:\Dokumente und Einstellungen\***\Anwendungsdaten\PC Tools
2008-03-05 15:48 . 2007-12-10 14:53 81,288 --a------ E:\WINDOWS\system32\drivers\iksyssec.sys
2008-03-05 15:48 . 2007-12-10 14:53 66,952 --a------ E:\WINDOWS\system32\drivers\iksysflt.sys
2008-03-05 15:48 . 2008-02-01 12:55 42,376 --a------ E:\WINDOWS\system32\drivers\ikfilesec.sys
2008-03-05 15:48 . 2007-12-10 14:53 29,576 --a------ E:\WINDOWS\system32\drivers\kcom.sys
2008-03-05 14:35 . 2008-03-05 14:35 <DIR> d-------- E:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Jump Poll Poke Mp3
2008-03-04 14:44 . 2008-03-04 14:44 <DIR> d-------- E:\Programme\Paint.NET
2008-03-04 02:26 . 2008-03-04 02:30 <DIR> d-------- E:\Programme\GWV
2008-02-28 22:32 . 2008-03-15 12:26 <DIR> d-------- E:\Programme\ICQToolbar
2008-02-28 22:31 . 2008-02-28 22:34 <DIR> d-------- E:\Programme\ICQ6

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-17 19:32 --------- d-----w E:\Programme\Steam
2008-03-14 21:17 --------- d-----w E:\Programme\GUILD WARS
2008-03-08 02:11 98,304 ----a-w E:\WINDOWS\system32\CmdLineExt.dll
2008-03-05 15:34 --------- d-----w E:\Programme\FlashGet
2008-03-05 15:12 --------- d-----w E:\Dokumente und Einstellungen\***\Anwendungsdaten\IrfanView
2008-02-19 16:43 --------- d-----w E:\Dokumente und Einstellungen\***\Anwendungsdaten\dvdcss
2008-02-09 12:52 --------- d-----w E:\Programme\Java
2008-01-31 20:52 --------- d-----w E:\Programme\DATA BECKER
2008-01-29 20:19 --------- d-----w E:\Programme\Apple Software Update
2008-01-29 19:39 --------- d-----w E:\Dokumente und Einstellungen\***\Anwendungsdaten\Xfire
2008-01-25 20:56 --------- d-s---w E:\Programme\Xfire
2008-01-22 01:25 --------- d-----w E:\Programme\Game Cam v1.4
2008-01-11 00:29 54,608 ----a-w E:\WINDOWS\system32\xfcodec.dll
2006-08-15 17:50 76 ---ha-w E:\Programme\Desktop.ini
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"LDM"="E:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-16 16:13 67128]
"ICQ"="E:\Programme\ICQ6\ICQ.exe" [2007-12-19 15:48 172280]
"SPAM DEFY"="E:\DOKUME~1\***\ANWEND~1\FACEFA~1\REGSMEMO.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVIDIA nTune"="E:\Programme\NVIDIA Corporation\nTune\\nTune.exe" [2004-12-06 11:06 532480]
"Launch Ai Booster"="E:\Programme\ASUS\Ai Booster\OverClk.exe" [2005-06-16 14:36 3627520]
"NvCplDaemon"="E:\WINDOWS\system32\NvCpl.dll" [2007-04-19 12:26 7700480]
"nwiz"="nwiz.exe" [2007-04-19 12:26 1626112 E:\WINDOWS\system32\nwiz.exe]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 10:50 20992 E:\WINDOWS\Logi_MwX.Exe]
"Profiler"="E:\Programme\Saitek\Software\Profiler.exe" [2004-08-19 13:08 159744]
"SaiSmart"="E:\Programme\Saitek\Software\SaiSmart.exe" [2004-08-19 13:08 98304]
"SaiMfd"="E:\Programme\Saitek\Software\SaiMfd.exe" [2004-08-19 12:10 135168]
"SunJavaUpdateSched"="E:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"avgnt"="E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 12:42 249896]
"NvMediaCenter"="E:\WINDOWS\system32\NvMcTray.dll" [2007-04-19 12:26 86016]
"TkBellExe"="E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-06 18:36 185896]
"QuickTime Task"="E:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
"ISTray"="E:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]

E:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\
Logitech Desktop Messenger.lnk - E:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-02-16 16:13:03 67128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKLM\~\startupfolder\E:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=E:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=E:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\E:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Xfire.lnk]
path=E:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\Xfire.lnk
backup=E:\WINDOWS\pss\Xfire.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearFlix]
E:\Programme\BearFlix\BearFlix.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
E:\Programme\BearShare\BearShare.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-11-12 11:48 157592 E:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 11:54 5674352 E:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 05:24 286720 E:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegistryMechanic]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2006-10-13 17:20 20058152 E:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-11-15 11:20 77824 E:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-01-11 14:51 1266936 e:\programme\steam\steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-12-06 18:36 185896 E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector]
--------- 2003-11-19 12:03 45056 E:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WinVNC4"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Programme\\Xfire\\Xfire.exe"=
"E:\\Programme\\Steam\\SteamApps\\***@web.de\\day of defeat source\\hl2.exe"=
"E:\\Programme\\Steam\\SteamApps\\***@web.de\\counter-strike source\\hl2.exe"=
"E:\\Programme\\mIRC\\mirc.exe"=
"E:\\Programme\\THQ\\Dawn Of War\\W40k.exe"=
"E:\\Programme\\THQ\\Dawn Of War\\W40kWA.exe"=
"E:\\Programme\\Steam\\SteamApps\\common\\red orchestra\\System\\RedOrchestra.exe"=
"E:\\Programme\\Mozilla Firefox\\firefox.exe"=
"E:\\Programme\\Electronic Arts\\Need for Speed Carbon\\NFSC.exe"=
"E:\\WINDOWS\\system32\\dpnsvr.exe"=
"E:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"E:\\Programme\\DC++\\DCPlusPlus.exe"=
"D:\\Programme\\Cod2\\CoD2MP_s.exe"=
"D:\\Programme\\wh dark cruisade\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"E:\\Programme\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"E:\\Programme\\Steam\\SteamApps\\***@web.de\\source sdk base\\hl2.exe"=
"E:\\Programme\\Skype\\Phone\\Skype.exe"=
"E:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"E:\\Programme\\MSN Messenger\\livecall.exe"=
"E:\\Programme\\ICQ6\\ICQ.exe"=

R2 ACEDRV09;ACEDRV09;E:\WINDOWS\system32\drivers\ACEDRV09.sys [2007-07-02 18:45]
S2 Ca533av;JDC 3.0S Webcam;E:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-21 10:37]
S3 FWLANUSB;AVM FRITZ!WLAN;E:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2005-10-18 02:04]
S3 gAGP440p;gAGP440p;E:\DOKUME~1\***\LOKALE~1\Temp\gAGP440p.sys [2002-02-06 04:25]
S3 SaiH8000;SaiH8000;E:\WINDOWS\system32\DRIVERS\SaiH8000.sys [2004-12-10 10:41]
S3 USBCamera;JDC 3.0S Camera;E:\WINDOWS\system32\Drivers\Bulk533.sys [2003-05-14 22:28]

.
Inhalt des "geplante Tasks" Ordners
"2008-03-17 20:00:00 E:\WINDOWS\Tasks\AB4AEB1E91B560BE.job"
- e:\dokume~1\***\anwend~1\facefa~1\wmaownschic.exe
"2008-03-13 15:33:27 E:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- E:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-17 21:07:30
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-17 21:08:22
ComboFix-quarantined-files.txt 2008-03-17 20:08:19
.
2008-03-12 03:38:12 --- E O F ---

MFG Ferrum

Trojaner Problem "Net-pumper"

Plagegeister aller Art und deren Bekämpfung: Trojaner Problem "Net-pumper"

Trojaner Problem "Net-pumper"

Ähnliche Themen: Trojaner Problem "Net-pumper"