worm.win32.netsky virus-bitte hilfe ich bin ein noob am pc

griesi · 16.03.2008, 15:41

hi
welche datei soll ich aussuchen??

Sabina · 16.03.2008, 15:42

C:\WINDOWS\system32\schedullingagent.exe

griesi · 16.03.2008, 15:45

hi
Diese Datei gibt es bei mir leider nicht

nochdigger · 16.03.2008, 16:36

Hallo

lass bitte auch diese Überprüfen

Zitat:

xxyabba.dll <--muss gesucht werden
C:\WINDOWS\system32\awvvu.dll
C:\WINDOWS\Ascd_tmp.ini
C:\WINDOWS\system32\etklqiyn.ini
C:\WINDOWS\system32\eeqdigop.ini
C:\WINDOWS\fmsxwqs.exe
C:\WINDOWS\system32\gicfuetc.ini
C:\WINDOWS\system32\DLLDEV32i.dll
C:\WINDOWS\system32\mgxoschk.dll
C:\WINDOWS\mgxoschk.ini
C:\WINDOWS\unvise32.exe
C:\WINDOWS\system32\BReWErS.dll

MFG

Sabina · 16.03.2008, 18:26

dann erstelle das Script für Combofix + wende es an

+
poste das neue log von Combofix

griesi · 16.03.2008, 20:38

hi
also ich hab mal xxyabba.dll durchsuchenlassen und da kam dann das raus:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.15.0 2008.03.14 -
AntiVir 7.6.0.73 2008.03.16 ADSPY/Virtumonde.jwy.3
Authentium 4.93.8 2008.03.14 -
Avast 4.7.1098.0 2008.03.16 -
AVG 7.5.0.516 2008.03.16 -
BitDefender 7.2 2008.03.16 -
CAT-QuickHeal 9.50 2008.03.14 -
ClamAV 0.92.1 2008.03.16 Trojan.Vundo-1799
DrWeb 4.44.0.09170 2008.03.16 -
eSafe 7.0.15.0 2008.03.09 -
eTrust-Vet 31.3.5616 2008.03.14 -
Ewido 4.0 2008.03.16 -
FileAdvisor 1 2008.03.16 -
Fortinet 3.14.0.0 2008.03.16 -
F-Prot 4.4.2.54 2008.03.15 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13260.0 2008.03.16 -
Ikarus T3.1.1.20 2008.03.16 -
Kaspersky 7.0.0.125 2008.03.16 not-a-virus:AdWare.Win32.Virtumonde.jwy
McAfee 5252 2008.03.14 -
Microsoft 1.3301 2008.03.16 Trojan:Win32/Vundo.KD
NOD32v2 2949 2008.03.15 Win32/Adware.Virtumonde
Norman 5.80.02 2008.03.14 W32/Virtumonde.MYM
Panda 9.0.0.4 2008.03.16 Suspicious file
Prevx1 V2 2008.03.16 TROJAN.AGENT.GEN
Rising 20.35.61.00 2008.03.16 -
Sophos 4.27.0 2008.03.16 Troj/Virtum-Gen
Sunbelt 3.0.963.0 2008.03.14 -
Symantec 10 2008.03.16 -
TheHacker 6.2.92.247 2008.03.15 Adware/Virtumonde.jwy
VBA32 3.12.6.2 2008.03.16 AdWare.Win32.Virtumonde.jwy
VirusBuster 4.3.26:9 2008.03.16 -
Webwasher-Gateway 6.6.2 2008.03.16 Ad-Spyware.Virtumonde.jwy.3

weitere Informationen
File size: 30372 bytes
MD5: 12c4e2e0c5e4624536aed0c557a6ef14
SHA1: e3f9847417972dad0faf42ca3eebae040ea3fefc
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5F83B1130069C2C59C0500406D215100DE5B103C

griesi · 16.03.2008, 20:56

hi
so das ist das von combofix:

ComboFix 08-03-14.4 - Maurice 2008-03-16 20:41:59.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.623 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Maurice\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Maurice\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\msssc.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-16 bis 2008-03-16 ))))))))))))))))))))))))))))))
.

2008-03-16 14:32 . 2008-03-16 14:32 <DIR> d-------- C:\Programme\Gamers.IRC
2008-03-16 11:58 . 2008-03-16 12:02 <DIR> d-------- C:\fixwareout
2008-03-16 08:48 . 2008-03-16 08:48 916,072 --a------ C:\Programme\fsbl.exe
2008-03-16 08:41 . 2001-09-19 05:47 765,952 -ra------ C:\WINDOWS\system\crlds3d.dll
2008-03-16 08:41 . 2006-03-17 10:18 392,960 -ra------ C:\WINDOWS\system32\drivers\senfilt.sys
2008-03-16 08:41 . 2007-01-16 02:09 293,888 -ra------ C:\WINDOWS\system32\drivers\ADIHdAud.sys
2008-03-16 08:41 . 2006-08-06 23:57 93,952 -ra------ C:\WINDOWS\system32\drivers\aeaudio.sys
2008-03-16 08:41 . 2006-06-30 08:00 28,160 -ra------ C:\WINDOWS\system32\PostProc.dll
2008-03-16 08:39 . 2008-03-16 12:34 33,860 --a------ C:\WINDOWS\Ascd_tmp.ini
2008-03-15 15:53 . 2003-07-20 19:17 5,174 --a------ C:\WINDOWS\system32\nppt9x.vxd
2008-03-15 15:53 . 2005-01-04 10:43 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys
2008-03-15 15:45 . 2008-03-15 15:45 <DIR> d-------- C:\Programme\GpotatoEu
2008-03-15 14:13 . 2008-03-15 14:13 121 --a------ C:\WINDOWS\bdagent.INI
2008-03-15 13:09 . 2008-03-16 14:44 1,368,340 ---hs---- C:\WINDOWS\system32\etklqiyn.ini
2008-03-15 12:48 . 2008-03-16 14:21 <DIR> d-------- C:\Programme\Yahoo!
2008-03-15 12:46 . 2008-03-15 12:46 <DIR> d-------- C:\Programme\Trend Micro
2008-03-15 12:42 . 2008-03-15 12:43 <DIR> d-------- C:\HijackThis
2008-03-15 12:32 . 2008-03-15 13:02 1,366,803 ---hs---- C:\WINDOWS\system32\yponjlge.ini
2008-03-15 12:27 . 2008-03-15 12:27 <DIR> d-------- C:\Deckard
2008-03-15 12:11 . 2008-03-16 14:03 2,820 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-15 12:10 . 2008-03-15 12:12 <DIR> d-------- C:\Dokumente und Einstellungen\Maurice\SmitfraudFix
2008-03-15 12:10 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-03-15 12:10 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-03-15 12:10 . 2008-03-14 09:09 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-03-15 12:10 . 2008-03-05 22:29 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-03-15 12:10 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-03-15 12:10 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-03-15 12:10 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-03-15 11:33 . 2008-03-15 11:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BitDefender
2008-03-15 11:19 . 2008-03-15 11:27 1,366,743 ---hs---- C:\WINDOWS\system32\eeqdigop.ini
2008-03-15 11:11 . 2008-03-15 11:11 28 --a------ C:\WINDOWS\ODBC.INI
2008-03-15 11:05 . 2008-03-15 11:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Agnitum Shared
2008-03-15 11:05 . 2008-03-15 11:05 <DIR> d-------- C:\Programme\Agnitum
2008-03-15 07:51 . 2008-03-15 17:58 315,345 --a------ C:\WINDOWS\system32\derzocker-15-03-2008.kkl
2008-03-14 17:27 . 2008-03-14 10:56 94,208 --a------ C:\WINDOWS\fmsxwqs.exe
2008-03-14 12:21 . 2008-03-14 12:21 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-03-14 12:04 . 2008-03-14 12:04 15 --a------ C:\WINDOWS\system32\980f308f
2008-03-14 12:01 . 2008-03-15 12:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-13 18:41 . 2008-03-14 12:03 1,346,557 ---hs---- C:\WINDOWS\system32\rvgkpouh.ini
2008-03-13 16:38 . 2008-03-13 16:39 1,344,034 ---hs---- C:\WINDOWS\system32\pttchbud.ini
2008-03-12 18:33 . 2008-03-13 16:36 1,320,215 ---hs---- C:\WINDOWS\system32\ebhtlbra.ini
2008-03-12 18:27 . 2008-03-11 19:27 1,315,119 --ahs---- C:\WINDOWS\system32\wkbjipyc.ini
2008-03-11 15:43 . 2008-03-11 15:43 1,318,343 --ahs---- C:\WINDOWS\system32\wkbjipyc.tmp
2008-03-10 16:00 . 2008-03-10 18:03 1,318,103 ---hs---- C:\WINDOWS\system32\gicfuetc.ini
2008-03-08 21:47 . 2008-03-08 21:47 <DIR> d-------- C:\Temp
2008-03-08 21:38 . 2008-03-16 12:35 <DIR> d-------- C:\Programme\ICQToolbar
2008-03-08 21:38 . 2008-03-15 09:12 <DIR> d-------- C:\Programme\ICQLite
2008-03-08 21:20 . 2008-01-14 15:33 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-08 21:20 . 2008-01-14 15:28 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-03-08 21:20 . 2008-01-14 15:28 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-08 21:20 . 2008-03-16 15:24 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-08 21:20 . 2008-01-14 15:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-08 21:20 . 2008-01-14 15:28 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-08 21:20 . 2008-03-08 21:25 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
2008-03-08 21:20 . 2008-03-08 21:21 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-01 20:15 . 2008-03-01 20:15 20,480 --a------ C:\WINDOWS\system32\H@tKeysH@@k.DLL
2008-03-01 15:31 . 2008-03-01 15:38 <DIR> d-------- C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\Media Player Classic
2008-03-01 15:30 . 2008-03-01 15:30 <DIR> d-------- C:\Programme\K-Lite Codec Pack
2008-03-01 15:24 . 2008-03-07 19:05 <DIR> d-------- C:\Programme\DivX
2008-03-01 15:23 . 2008-03-01 15:23 <DIR> d-------- C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\dvdcss
2008-03-01 10:00 . 2008-03-16 10:39 <DIR> d-------- C:\Programme\ArtMoney
2008-03-01 07:46 . 2008-03-01 07:47 <DIR> d-------- C:\Programme\Opera 9.5 beta
2008-02-29 19:13 . 2008-02-29 19:13 <DIR> dr-h----- C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\SecuROM
2008-02-29 19:13 . 2008-02-29 19:13 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-02-25 21:41 . 2008-02-25 21:41 197 --a------ C:\WINDOWS\system32\MRT.INI
2008-02-24 18:11 . 2008-02-24 18:11 <DIR> d-------- C:\Programme\VintaSoft
2008-02-24 17:59 . 2008-02-24 17:59 <DIR> d-------- C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\F-Secure
2008-02-24 10:58 . 2008-02-24 10:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Magix
2008-02-24 10:51 . 2007-04-27 10:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-02-24 10:50 . 2007-04-17 17:05 667,648 --a------ C:\WINDOWS\system32\mgxoschk.dll
2008-02-24 10:50 . 2008-02-24 10:52 6,768 --a------ C:\WINDOWS\mgxoschk.ini
2008-02-24 10:49 . 2008-02-24 19:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\F-Secure
2008-02-24 10:48 . 2008-02-24 10:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fssg
2008-02-23 19:06 . 2008-02-23 19:06 <DIR> d--h----- C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\Yahoo!
2008-02-22 22:14 . 1999-12-17 08:13 86,016 --a------ C:\WINDOWS\unvise32.exe
2008-02-22 20:42 . 2008-02-23 03:24 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-02-22 19:11 . 2004-03-03 19:39 339,776 --a------ C:\WINDOWS\system32\drivers\wg111nd5.sys
2008-02-22 19:11 . 2004-02-27 15:26 61,440 --a------ C:\WINDOWS\system32\W32N50.dll
2008-02-22 19:11 . 2004-02-27 15:26 16,292 --a------ C:\WINDOWS\system32\PCANDIS5.SYS
2008-02-22 19:11 . 2004-02-27 15:26 15,577 --a------ C:\WINDOWS\system32\PCANDIS3.VXD
2008-02-22 16:37 . 2008-02-22 16:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\Leadertech
2008-02-21 03:11 . 2008-02-21 03:11 3,136 --a------ C:\WINDOWS\system32\dtu_de.qm
2008-02-21 03:03 . 2008-02-21 03:03 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-16 13:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-16 13:57 --------- d-----w C:\Programme\VideoLAN
2008-03-16 13:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-16 07:54 1,274 ----a-w C:\Programme\fsbl-20080316074847.log
2008-03-15 08:32 80,896 ----a-w C:\WINDOWS\system32\faultrep.dll
2008-03-09 09:46 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-03-09 09:46 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-03-07 21:04 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-07 18:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-02 08:36 --------- d-----w C:\Programme\ICQ6
2008-03-01 07:09 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-02-24 19:29 5,120 ----a-w C:\WINDOWS\system32\BReWErS.dll
2008-02-24 09:17 --------- d-----w C:\Programme\ASUS
2008-02-22 15:37 --------- d-----w C:\Programme\AGEIA Technologies
2008-02-15 18:26 22,328 ---ha-w C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\PnkBstrK.sys
2008-02-14 21:03 --------- d--h--w C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\TuneUp Software
2008-02-14 20:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-02-14 13:50 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-02-05 12:04 --------- d-----w C:\Programme\KalOnlineEng
2008-01-31 11:43 --------- d--h--w C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\vlc
2008-01-29 18:39 --------- d-----w C:\Programme\Frantic Films
2008-01-26 12:07 --------- d-----w C:\Programme\Analog Devices
2008-01-22 19:25 307,217,806 ----a-w C:\KalOnlineSetupEng060523.exe
2008-01-20 18:57 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2008-01-20 18:57 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2008-01-20 18:57 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2008-01-20 17:45 --------- d-----w C:\Programme\Intel
2008-01-19 08:34 --------- d--h--w C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\ICQ Toolbar
2008-01-19 08:28 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-01-17 17:03 --------- d-----w C:\Programme\Lionhead Studios
2008-01-17 12:11 --------- d-----w C:\Programme\WinTV
2008-01-16 17:40 --------- d-----w C:\Programme\nanocosmos
2008-01-16 17:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
2008-01-16 17:39 --------- d-----w C:\Programme\Ulead Systems
2008-01-16 17:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Ulead Systems
2008-01-16 17:38 --------- d-----w C:\Programme\vtplus
2008-01-16 17:37 --------- d-----w C:\Programme\Gemeinsame Dateien\IviSDK
2008-01-10 12:16 159,839 ----a-w C:\WINDOWS\system32\xvidvfw.dll
2008-01-10 12:15 755,027 ----a-w C:\WINDOWS\system32\xvidcore.dll
2007-12-24 12:49 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll
.

------- Sigcheck -------

2007-10-11 06:58 671744 6be2cddc28610d9e73e54678a131b253 C:\WINDOWS\$hf_mig$\KB942615\SP2QFE\wininet.dll
2007-12-07 01:46 671744 273f4b37b80c8d398713a88b788fe59b C:\WINDOWS\$hf_mig$\KB944533\SP2QFE\wininet.dll
2004-08-04 13:00 662016 b1a1da99c4a6ebfd59f86a453bf02f39 C:\WINDOWS\$NtUninstallKB942615$\wininet.dll
2007-10-11 07:12 665088 dc532b5bd08e02df13c9f166d0f4f73b C:\WINDOWS\$NtUninstallKB944533$\wininet.dll
2007-12-07 02:06 809984 1a9716923bdb9ae0ce9c46848a098b74 C:\WINDOWS\ie7\wininet.dll
2007-12-07 02:06 809984 1a9716923bdb9ae0ce9c46848a098b74 C:\WINDOWS\system32\wininet.dll
2007-12-07 02:06 809984 1a9716923bdb9ae0ce9c46848a098b74 C:\WINDOWS\system32\dllcache\wininet.dll

2004-08-04 13:00 546816 caef653d55cc8d7a173e4e63bc58d7f2 C:\WINDOWS\system32\winlogon.exe
2004-08-04 13:00 546816 caef653d55cc8d7a173e4e63bc58d7f2 C:\WINDOWS\system32\dllcache\winlogon.exe

2005-03-02 19:11 2059264 ae8364004bbfd70461d2ef34888d3360 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
2007-02-28 17:06 2061696 9b9ca27ad315c02b71510238574894b2 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
2004-08-04 13:00 2017792 f8d35488d41b19a306a454ffc0ed0336 C:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe
2005-03-02 19:06 2017792 a3724446acb9de8d890cfabd146cd0ad C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe
2007-02-28 17:02 2059904 06effe1520c59641fcdb8baa94a8539f C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2007-02-28 17:02 2275328 000755c310f384180abada2e4eae0560 C:\WINDOWS\system32\ntkrnlpa.exe
2007-02-28 17:02 2275328 000755c310f384180abada2e4eae0560 C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2005-03-02 19:11 2181888 eb5538a452e0e99169e2b6cdb62ff9d2 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
2007-02-28 17:06 2184448 e1de7a10d46959560c3b617227d95c19 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe
2004-08-04 13:00 2150912 c3ec5dd56e3eb15d80af9fcee030cabd C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe
2005-03-02 19:06 2138112 3ddc2bc3d32b2fc505d09b8b8974d5bb C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe
2007-02-28 17:02 2182656 2804b72eb675cd43df7994ae4685b894 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2007-02-28 17:02 2395648 18e019efc9ecf4bfd98733ef34b825b8 C:\WINDOWS\system32\ntoskrnl.exe
2007-02-28 17:02 2395648 18e019efc9ecf4bfd98733ef34b825b8 C:\WINDOWS\system32\dllcache\ntoskrnl.exe

2007-06-13 14:21 1554944 14b0b1999fca97a232465246e5ce3f10 C:\WINDOWS\explorer.exe
2007-06-13 14:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-04 13:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 14:21 1554944 14b0b1999fca97a232465246e5ce3f10 C:\WINDOWS\system32\dllcache\explorer.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{486AC9A0-F534-4A85-AD38-5FF1AB3097B1}]
C:\WINDOWS\system32\mlljk.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8113C5EB-207E-4435-8802-0D7DC01B8148}]
C:\WINDOWS\system32\awvvu.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 25088]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1825792]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-19 15:48 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-28 17:43 8466432]
"AsusStartupHelp"="C:\Programme\ASUS\AASP\1.00.15\AsRunHelp.exe" [2006-11-14 07:25 363008]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-28 17:43 81920]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 07:12 729088]
"SchedullingAgent"="c:\windows\system32\schedullingagent.exe" [ ]
"OutpostFeedBack"="C:\Programme\Agnitum\Outpost Firewall 1.0\feedback.exe" [ ]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 14:34 868352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"SchedullingAgent"="c:\windows\system32\schedullingagent.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 25088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyabba]
xxyabba.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\Programme\Agnitum\Outpost Firewall 1.0\wl_hook.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
-ra------ 2006-09-27 14:32 2372240 C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-06-28 17:43 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PnkBstrA"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\CoD4\\iw3mp.exe"=
"D:\\need for speed pro street\\nfs.exe"=
"C:\\Dokumente und Einstellungen\\Maurice\\Desktop\\Cs 1.6\\hl.exe"=
"D:\\css\\hl2.exe"=
"C:\\Dokumente und Einstellungen\\Maurice\\Desktop\\css\\hl2.exe"=
"C:\\Programme\\Gamers.IRC\\mirc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

S2 spydetector;spydetector;C:\Programme\Spyware Process Detector\spydetector.sys []
S4 VFILT;Outpost Firewall Kernel Driver;C:\PROGRA~1\Agnitum\OUTPOS~1.0\kernel\2000\FILTNT.SYS []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-16 20:42:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-16 20:43:16
ComboFix-quarantined-files.txt 2008-03-16 19:43:01
ComboFix2.txt 2008-03-16 14:24:37
.
2008-03-02 08:44:10 --- E O F ---

axh ja noch mal danke der"spam" Virus(Trojana) ist nicht mehr

da:aplaus:

:Huepp:

Sabina · 16.03.2008, 23:38

ich habe dir Punkt für Punkt aufgeschrieben + Bildchen gepostet, wie man die sriptdatei erstellt + auf das Symbol von Combofix zieht..ich kann es nicht für dich machen

mit OTMoveIt bekommt man den Driver nicht weg und die Registry-Einträge auch nicht

OTMoveIt
OTMoveIt by OldTimer
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move

Code:

ATTFilter

C:\WINDOWS\system32\980f308f
C:\WINDOWS\system32\rvgkpouh.ini
C:\WINDOWS\system32\pttchbud.ini
C:\WINDOWS\system32\ebhtlbra.ini
C:\WINDOWS\system32\wkbjipyc.ini
C:\WINDOWS\system32\wkbjipyc.tmp
C:\WINDOWS\system32\gicfuetc.ini
C:\WINDOWS\system32\etklqiyn.ini
C:\WINDOWS\system32\yponjlge.ini
C:\Programme\Spyware Process Detector

Klicke auf den Roten MoveIt!

poste das log, was erscheint

»»
dann erstelle noch mal die cfscript.txt-Datei + auf Combofix ziehen + poste den neuen Report von Combofix

griesi · 17.03.2008, 08:56

hi
alos das kam bei Movit raus:

C:\WINDOWS\system32\980f308f moved successfully.
C:\WINDOWS\system32\rvgkpouh.ini moved successfully.
C:\WINDOWS\system32\pttchbud.ini moved successfully.
C:\WINDOWS\system32\ebhtlbra.ini moved successfully.
C:\WINDOWS\system32\wkbjipyc.ini moved successfully.
C:\WINDOWS\system32\wkbjipyc.tmp moved successfully.
C:\WINDOWS\system32\gicfuetc.ini moved successfully.
C:\WINDOWS\system32\etklqiyn.ini moved successfully.
C:\WINDOWS\system32\yponjlge.ini moved successfully.
File/Folder C:\Programme\Spyware Process Detector not found.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03172008_085507

griesi · 17.03.2008, 09:06

hi
ich hoffe das past so,dass ist das vone Combofix:

ComboFix 08-03-14.4 - Maurice 2008-03-17 9:00:07.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.651 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Maurice\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Maurice\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\980f308f
C:\WINDOWS\system32\ebhtlbra.ini
C:\WINDOWS\system32\etklqiyn.ini
C:\WINDOWS\system32\gicfuetc.ini
C:\WINDOWS\system32\pttchbud.ini
C:\WINDOWS\system32\rvgkpouh.ini
C:\WINDOWS\system32\wkbjipyc.ini
C:\WINDOWS\system32\wkbjipyc.tmp
C:\WINDOWS\system32\yponjlge.ini
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-17 bis 2008-03-17 ))))))))))))))))))))))))))))))
.

2008-03-17 08:55 . 2008-03-17 08:55 <DIR> d-------- C:\_OTMoveIt
2008-03-16 14:32 . 2008-03-16 14:32 <DIR> d-------- C:\Programme\Gamers.IRC
2008-03-16 11:58 . 2008-03-16 12:02 <DIR> d-------- C:\fixwareout
2008-03-16 08:48 . 2008-03-16 08:48 916,072 --a------ C:\Programme\fsbl.exe
2008-03-16 08:41 . 2001-09-19 05:47 765,952 -ra------ C:\WINDOWS\system\crlds3d.dll
2008-03-16 08:41 . 2006-03-17 10:18 392,960 -ra------ C:\WINDOWS\system32\drivers\senfilt.sys
2008-03-16 08:41 . 2007-01-16 02:09 293,888 -ra------ C:\WINDOWS\system32\drivers\ADIHdAud.sys
2008-03-16 08:41 . 2006-08-06 23:57 93,952 -ra------ C:\WINDOWS\system32\drivers\aeaudio.sys
2008-03-16 08:41 . 2006-06-30 08:00 28,160 -ra------ C:\WINDOWS\system32\PostProc.dll
2008-03-16 08:39 . 2008-03-16 12:34 33,860 --a------ C:\WINDOWS\Ascd_tmp.ini
2008-03-15 15:53 . 2003-07-20 19:17 5,174 --a------ C:\WINDOWS\system32\nppt9x.vxd
2008-03-15 15:53 . 2005-01-04 10:43 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys
2008-03-15 15:45 . 2008-03-15 15:45 <DIR> d-------- C:\Programme\GpotatoEu
2008-03-15 14:13 . 2008-03-15 14:13 121 --a------ C:\WINDOWS\bdagent.INI
2008-03-15 12:48 . 2008-03-16 14:21 <DIR> d-------- C:\Programme\Yahoo!
2008-03-15 12:46 . 2008-03-15 12:46 <DIR> d-------- C:\Programme\Trend Micro
2008-03-15 12:42 . 2008-03-15 12:43 <DIR> d-------- C:\HijackThis
2008-03-15 12:27 . 2008-03-15 12:27 <DIR> d-------- C:\Deckard
2008-03-15 12:11 . 2008-03-16 14:03 2,820 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-15 12:10 . 2008-03-15 12:12 <DIR> d-------- C:\Dokumente und Einstellungen\Maurice\SmitfraudFix
2008-03-15 12:10 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-03-15 12:10 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-03-15 12:10 . 2008-03-14 09:09 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-03-15 12:10 . 2008-03-05 22:29 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-03-15 12:10 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-03-15 12:10 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-03-15 12:10 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-03-15 11:33 . 2008-03-15 11:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BitDefender
2008-03-15 11:19 . 2008-03-15 11:27 1,366,743 ---hs---- C:\WINDOWS\system32\eeqdigop.ini
2008-03-15 11:11 . 2008-03-15 11:11 28 --a------ C:\WINDOWS\ODBC.INI
2008-03-15 11:05 . 2008-03-15 11:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Agnitum Shared
2008-03-15 11:05 . 2008-03-15 11:05 <DIR> d-------- C:\Programme\Agnitum
2008-03-15 07:51 . 2008-03-15 17:58 315,345 --a------ C:\WINDOWS\system32\derzocker-15-03-2008.kkl
2008-03-14 17:27 . 2008-03-14 10:56 94,208 --a------ C:\WINDOWS\fmsxwqs.exe
2008-03-14 12:21 . 2008-03-14 12:21 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-03-14 12:01 . 2008-03-15 12:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-08 21:47 . 2008-03-08 21:47 <DIR> d-------- C:\Temp
2008-03-08 21:38 . 2008-03-16 12:35 <DIR> d-------- C:\Programme\ICQToolbar
2008-03-08 21:38 . 2008-03-15 09:12 <DIR> d-------- C:\Programme\ICQLite
2008-03-08 21:20 . 2008-01-14 15:33 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-08 21:20 . 2008-01-14 15:28 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-03-08 21:20 . 2008-01-14 15:28 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-08 21:20 . 2008-03-16 20:43 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-08 21:20 . 2008-01-14 15:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-08 21:20 . 2008-01-14 15:28 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-08 21:20 . 2008-03-08 21:25 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
2008-03-08 21:20 . 2008-03-08 21:21 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-01 20:15 . 2008-03-01 20:15 20,480 --a------ C:\WINDOWS\system32\H@tKeysH@@k.DLL
2008-03-01 15:31 . 2008-03-01 15:38 <DIR> d-------- C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\Media Player Classic
2008-03-01 15:30 . 2008-03-01 15:30 <DIR> d-------- C:\Programme\K-Lite Codec Pack
2008-03-01 15:24 . 2008-03-07 19:05 <DIR> d-------- C:\Programme\DivX
2008-03-01 15:23 . 2008-03-01 15:23 <DIR> d-------- C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\dvdcss
2008-03-01 10:00 . 2008-03-16 10:39 <DIR> d-------- C:\Programme\ArtMoney
2008-03-01 07:46 . 2008-03-01 07:47 <DIR> d-------- C:\Programme\Opera 9.5 beta
2008-02-29 19:13 . 2008-02-29 19:13 <DIR> dr-h----- C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\SecuROM
2008-02-29 19:13 . 2008-02-29 19:13 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-02-25 21:41 . 2008-02-25 21:41 197 --a------ C:\WINDOWS\system32\MRT.INI
2008-02-24 18:11 . 2008-02-24 18:11 <DIR> d-------- C:\Programme\VintaSoft
2008-02-24 17:59 . 2008-02-24 17:59 <DIR> d-------- C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\F-Secure
2008-02-24 10:58 . 2008-02-24 10:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Magix
2008-02-24 10:51 . 2007-04-27 10:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-02-24 10:50 . 2007-04-17 17:05 667,648 --a------ C:\WINDOWS\system32\mgxoschk.dll
2008-02-24 10:50 . 2008-02-24 10:52 6,768 --a------ C:\WINDOWS\mgxoschk.ini
2008-02-24 10:49 . 2008-02-24 19:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\F-Secure
2008-02-24 10:48 . 2008-02-24 10:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fssg
2008-02-23 19:06 . 2008-02-23 19:06 <DIR> d--h----- C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\Yahoo!
2008-02-22 22:14 . 1999-12-17 08:13 86,016 --a------ C:\WINDOWS\unvise32.exe
2008-02-22 20:42 . 2008-02-23 03:24 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-02-22 19:11 . 2004-03-03 19:39 339,776 --a------ C:\WINDOWS\system32\drivers\wg111nd5.sys
2008-02-22 19:11 . 2004-02-27 15:26 61,440 --a------ C:\WINDOWS\system32\W32N50.dll
2008-02-22 19:11 . 2004-02-27 15:26 16,292 --a------ C:\WINDOWS\system32\PCANDIS5.SYS
2008-02-22 19:11 . 2004-02-27 15:26 15,577 --a------ C:\WINDOWS\system32\PCANDIS3.VXD
2008-02-22 16:37 . 2008-02-22 16:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\Leadertech
2008-02-21 03:11 . 2008-02-21 03:11 3,136 --a------ C:\WINDOWS\system32\dtu_de.qm
2008-02-21 03:03 . 2008-02-21 03:03 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-16 13:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-16 13:57 --------- d-----w C:\Programme\VideoLAN
2008-03-16 13:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-16 07:54 1,274 ----a-w C:\Programme\fsbl-20080316074847.log
2008-03-15 08:32 80,896 ----a-w C:\WINDOWS\system32\faultrep.dll
2008-03-09 09:46 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-03-09 09:46 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-03-07 21:04 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-07 18:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-02 08:36 --------- d-----w C:\Programme\ICQ6
2008-03-01 07:09 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-02-24 19:29 5,120 ----a-w C:\WINDOWS\system32\BReWErS.dll
2008-02-24 09:17 --------- d-----w C:\Programme\ASUS
2008-02-22 15:37 --------- d-----w C:\Programme\AGEIA Technologies
2008-02-15 18:26 22,328 ---ha-w C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\PnkBstrK.sys
2008-02-14 21:03 --------- d--h--w C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\TuneUp Software
2008-02-14 20:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-02-14 13:50 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-02-05 12:04 --------- d-----w C:\Programme\KalOnlineEng
2008-01-31 11:43 --------- d--h--w C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\vlc
2008-01-29 18:39 --------- d-----w C:\Programme\Frantic Films
2008-01-26 12:07 --------- d-----w C:\Programme\Analog Devices
2008-01-22 19:25 307,217,806 ----a-w C:\KalOnlineSetupEng060523.exe
2008-01-20 18:57 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2008-01-20 18:57 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2008-01-20 18:57 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2008-01-20 17:45 --------- d-----w C:\Programme\Intel
2008-01-19 08:34 --------- d--h--w C:\Dokumente und Einstellungen\Maurice\Anwendungsdaten\ICQ Toolbar
2008-01-19 08:28 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-01-17 17:03 --------- d-----w C:\Programme\Lionhead Studios
2008-01-17 12:11 --------- d-----w C:\Programme\WinTV
2008-01-10 12:16 159,839 ----a-w C:\WINDOWS\system32\xvidvfw.dll
2008-01-10 12:15 755,027 ----a-w C:\WINDOWS\system32\xvidcore.dll
2007-12-24 12:49 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll
.

------- Sigcheck -------

2007-10-11 06:58 671744 6be2cddc28610d9e73e54678a131b253 C:\WINDOWS\$hf_mig$\KB942615\SP2QFE\wininet.dll
2007-12-07 01:46 671744 273f4b37b80c8d398713a88b788fe59b C:\WINDOWS\$hf_mig$\KB944533\SP2QFE\wininet.dll
2004-08-04 13:00 662016 b1a1da99c4a6ebfd59f86a453bf02f39 C:\WINDOWS\$NtUninstallKB942615$\wininet.dll
2007-10-11 07:12 665088 dc532b5bd08e02df13c9f166d0f4f73b C:\WINDOWS\$NtUninstallKB944533$\wininet.dll
2007-12-07 02:06 809984 1a9716923bdb9ae0ce9c46848a098b74 C:\WINDOWS\ie7\wininet.dll
2007-12-07 02:06 809984 1a9716923bdb9ae0ce9c46848a098b74 C:\WINDOWS\system32\wininet.dll
2007-12-07 02:06 809984 1a9716923bdb9ae0ce9c46848a098b74 C:\WINDOWS\system32\dllcache\wininet.dll

2004-08-04 13:00 546816 caef653d55cc8d7a173e4e63bc58d7f2 C:\WINDOWS\system32\winlogon.exe
2004-08-04 13:00 546816 caef653d55cc8d7a173e4e63bc58d7f2 C:\WINDOWS\system32\dllcache\winlogon.exe

2005-03-02 19:11 2059264 ae8364004bbfd70461d2ef34888d3360 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
2007-02-28 17:06 2061696 9b9ca27ad315c02b71510238574894b2 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
2004-08-04 13:00 2017792 f8d35488d41b19a306a454ffc0ed0336 C:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe
2005-03-02 19:06 2017792 a3724446acb9de8d890cfabd146cd0ad C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe
2007-02-28 17:02 2059904 06effe1520c59641fcdb8baa94a8539f C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2007-02-28 17:02 2275328 000755c310f384180abada2e4eae0560 C:\WINDOWS\system32\ntkrnlpa.exe
2007-02-28 17:02 2275328 000755c310f384180abada2e4eae0560 C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2005-03-02 19:11 2181888 eb5538a452e0e99169e2b6cdb62ff9d2 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
2007-02-28 17:06 2184448 e1de7a10d46959560c3b617227d95c19 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe
2004-08-04 13:00 2150912 c3ec5dd56e3eb15d80af9fcee030cabd C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe
2005-03-02 19:06 2138112 3ddc2bc3d32b2fc505d09b8b8974d5bb C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe
2007-02-28 17:02 2182656 2804b72eb675cd43df7994ae4685b894 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2007-02-28 17:02 2395648 18e019efc9ecf4bfd98733ef34b825b8 C:\WINDOWS\system32\ntoskrnl.exe
2007-02-28 17:02 2395648 18e019efc9ecf4bfd98733ef34b825b8 C:\WINDOWS\system32\dllcache\ntoskrnl.exe

2007-06-13 14:21 1554944 14b0b1999fca97a232465246e5ce3f10 C:\WINDOWS\explorer.exe
2007-06-13 14:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-04 13:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 14:21 1554944 14b0b1999fca97a232465246e5ce3f10 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((( snapshot@2008-03-16_15.24.28.20 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-11-20 15:04:32 1,523,536 ----a-w C:\WINDOWS\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe
+ 2007-11-21 00:04:14 218,496 ----a-r C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe
+ 2008-03-16 20:23:28 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
- 2008-02-04 14:09:48 18,214,008 ----a-w C:\WINDOWS\system32\MRT.exe
+ 2008-03-05 16:30:54 19,148,408 ----a-w C:\WINDOWS\system32\MRT.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 25088]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1825792]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-19 15:48 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-28 17:43 8466432]
"AsusStartupHelp"="C:\Programme\ASUS\AASP\1.00.15\AsRunHelp.exe" [2006-11-14 07:25 363008]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-28 17:43 81920]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 07:12 729088]
"SchedullingAgent"="c:\windows\system32\schedullingagent.exe" [ ]
"OutpostFeedBack"="C:\Programme\Agnitum\Outpost Firewall 1.0\feedback.exe" [ ]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 14:34 868352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"SchedullingAgent"="c:\windows\system32\schedullingagent.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 25088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= C:\Programme\Agnitum\Outpost Firewall 1.0\wl_hook.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
-ra------ 2006-09-27 14:32 2372240 C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-06-28 17:43 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PnkBstrA"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\CoD4\\iw3mp.exe"=
"D:\\need for speed pro street\\nfs.exe"=
"C:\\Dokumente und Einstellungen\\Maurice\\Desktop\\Cs 1.6\\hl.exe"=
"D:\\css\\hl2.exe"=
"C:\\Dokumente und Einstellungen\\Maurice\\Desktop\\css\\hl2.exe"=
"C:\\Programme\\Gamers.IRC\\mirc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

S4 VFILT;Outpost Firewall Kernel Driver;C:\PROGRA~1\Agnitum\OUTPOS~1.0\kernel\2000\FILTNT.SYS []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-17 09:03:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\WinTV\Ir.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-17 9:05:18 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-17 08:05:15
ComboFix2.txt 2008-03-16 19:43:16
ComboFix3.txt 2008-03-16 14:24:37
.
2008-03-16 23:37:40 --- E O F ---

Sabina · 17.03.2008, 10:34

Hallo,

1.
wende CCleaner an
CCleaner

2.
otmoveIt
OTMoveIt by OldTimer
reinkopieren + das log posten:

Code:

ATTFilter

C:\WINDOWS\fmsxwqs.exe
C:\WINDOWS\system32\eeqdigop.ini

3.
scanne mit F-secure/Onlinescan + poste den scanreport
Online Virenscanner

griesi · 17.03.2008, 11:47

hi
ich verstehe das richtig, dass ich den Code reinkopieren soll oder?

Sabina · 17.03.2008, 13:13

ja klar...damit es geloescht wird

griesi · 17.03.2008, 14:04

hi

so ich hab den code schon mal eingefügt des wegen kommt das hir jetzt

File/Folder C:\WINDOWS\fmsxwqs.exe not found.
File/Folder C:\WINDOWS\system32\eeqdigop.ini not found.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 0317

also es würde schon "gelöscht"

und das F-security geht elider nicht denn da kommt dann immer das etwas nicht heruntergeladen könne

worm.win32.netsky virus-bitte hilfe ich bin ein noob am pc

Log-Analyse und Auswertung: worm.win32.netsky virus-bitte hilfe ich bin ein noob am pc