| |
| |||||||
Log-Analyse und Auswertung: Worm Win32 NetSky...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
22.03.2008, 13:46
| #1 |
| |  Worm Win32 NetSky... Hallo,ich weiß das dieser Wurm schon einige Male in diesem Forum vor kam, ich hab auch versucht ihn loszuwerden mit dem was geschrieben wurde in den Posts, aber ich komm einfach nicht weiter. Auf jeden Fall: Der Wurm verursacht das gleiche wie in den anderen Posts. -Beim Systemstart sind 3 neue Programme auf dem Desktop -Alle paar Minuten kommt ein Pop-Up mit der Info das Malware meinen Laptop infiziert -Und im System-Tray kommt auch eine Warnung mit einem Roten Kreis in dem ein weißes Kreuz ist -Die Fenster die ich geöffnet habe wechseln -Der IE startet und bringt mich auf h**P://www.system-defender.com -Außerdem verändert sich bei jedem Start vom IE die Startseite auf h**p://www.safenavweb.com, oder so Hier mein HijackThis Logfile: Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 13:40:01, on 22.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\xampp\filezillaftp\filezillaserver.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe D:\xampp\mysql\bin\mysqld-nt.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\HP\QuickPlay\QPService.exe C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Hp\HP Software Update\HPWuSchd2.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Eraser\eraser.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Launchy\Launchy.exe C:\Programme\Nikon\PictureProject\NkbMonitor.exe C:\Programme\Google\Web Accelerator\GoogleWebAccWarden.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe C:\Programme\Google\Web Accelerator\googlewebaccclient.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\ArcorOnline\AOButler.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://localhost:9100/proxy.pac O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Web Accelerator Helper - {69A87B7D-DE56-4136-9655-716BA50C19C7} - C:\Programme\Google\Web Accelerator\GoogleWebAccToolbar.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - C:\Programme\Google\Web Accelerator\GoogleWebAccToolbar.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe" O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB002" /M "Stylus DX4800" O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\WINDOWS\TEMP\E_S7D.tmp" /EF "HKCU" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Launchy.lnk = C:\Programme\Launchy\Launchy.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe O4 - Global Startup: Run Google Web Accelerator.lnk = C:\Programme\Google\Web Accelerator\GoogleWebAccWarden.exe O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/update/EARTPX.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151328818140 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader4.cab?nocache=1203348962 O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{AFF67598-7163-4FE3-8A4F-49D9B24341CB}: NameServer = 129.206.100.126 O17 - HKLM\System\CCS\Services\Tcpip\..\{E2EE2973-3C5A-41AC-A0BE-B3D57849290D}: NameServer = 195.50.140.178 195.50.140.114 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O21 - SSODL: bokpkov - {B659783A-32A0-4B48-A56B-E2FE59E3A624} - C:\WINDOWS\bokpkov.dll O21 - SSODL: altvxvm - {1420E6D5-6C27-4A56-BA35-18764967E43D} - C:\WINDOWS\altvxvm.dll O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - D:\xampp\filezillaftp\filezillaserver.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\system32\lxcfcoms.exe O23 - Service: mysql - Unknown owner - D:\xampp\mysql\bin\mysqld-nt.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe |
|
22.03.2008, 14:00
| #2 |
| Administrator > Competence Manager  |  Worm Win32 NetSky...Hallo Sunshine und Willkommen! Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen: Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix -Starte es dann und lass das System durchsuchen. (Option 2) -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!
__________________ |
|
22.03.2008, 14:38
| #3 |
| |  Worm Win32 NetSky... Hui...des ging aber schnell...
__________________Also hier mein Smitfraud-Log: Code:
ATTFilter SmitFraudFix v2.306
Scan done at 14:08:22,39, 22.03.2008
Run from C:\Programme\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\xampp\filezillaftp\filezillaserver.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
D:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HP\QuickPlay\QPService.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Launchy\Launchy.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Google\Web Accelerator\GoogleWebAccWarden.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Google\Web Accelerator\googlewebaccclient.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
»»»»»»»»»»»»»»»»»»»»»»»» hosts
hosts file corrupted !
127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Tobias
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Tobias\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Tobias\FAVORI~1
C:\DOKUME~1\Tobias\FAVORI~1\Error Cleaner.url FOUND !
C:\DOKUME~1\Tobias\FAVORI~1\Privacy Protector.url FOUND !
C:\DOKUME~1\Tobias\FAVORI~1\Spyware?Malware Protection.url FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
[!] Suspicious: bokpkov.dll
SSODL: bokpkov - {B659783A-32A0-4B48-A56B-E2FE59E3A624}
[!] Suspicious: altvxvm.dll
SSODL: altvxvm - {1420E6D5-6C27-4A56-BA35-18764967E43D}
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 195.50.140.178
DNS Server Search Order: 195.50.140.114
Description: Intel(R) PRO/Wireless 3945ABG Network Connection - Paketplaner-Miniport
DNS Server Search Order: 129.206.100.126
HKLM\SYSTEM\CCS\Services\Tcpip\..\{AFF67598-7163-4FE3-8A4F-49D9B24341CB}: NameServer=129.206.100.126
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E2EE2973-3C5A-41AC-A0BE-B3D57849290D}: NameServer=195.50.140.178 195.50.140.114
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AFF67598-7163-4FE3-8A4F-49D9B24341CB}: NameServer=129.206.100.126
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AFF67598-7163-4FE3-8A4F-49D9B24341CB}: NameServer=129.206.100.126
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E2EE2973-3C5A-41AC-A0BE-B3D57849290D}: NameServer=195.50.140.178 195.50.140.114
HKLM\SYSTEM\CS3\Services\Tcpip\..\{AFF67598-7163-4FE3-8A4F-49D9B24341CB}: NameServer=129.206.100.126
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
Code:
ATTFilter ComboFix 08-03-21.2 - Tobias 2008-03-22 14:22:33.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.442 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\All Users\Dokumente\Neuer Ordner\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Tobias\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Tobias\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Tobias\Favoriten\Spyware&Malware Protection.url
C:\Programme\crosof~1.net
C:\Programme\outlook
C:\Programme\ssembl~1
C:\WINDOWS\bobsaver.exe
C:\WINDOWS\bobsaver.scr
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\explorer.dll
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\sysdm.exe
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\wapiit.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_CMDSERVICE
-------\Legacy_NETWORK_MONITOR
((((((((((((((((((((((((( Files Created from 2008-02-22 to 2008-03-22 )))))))))))))))))))))))))))))))
.
2008-03-20 21:56 . 2008-03-20 22:47 <DIR> d-------- C:\Programme\Enigma Software Group
2008-03-19 16:23 . 2008-03-19 16:23 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-19 16:23 . 2008-03-19 16:23 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-18 15:35 . 2008-03-18 15:35 <DIR> d-------- C:\Programme\CCleaner
2008-03-17 14:38 . 2008-03-17 14:41 <DIR> d-------- C:\Programme\Singles
2008-03-17 14:31 . 2008-03-17 14:31 8,192 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-03-17 12:50 . 2008-03-17 14:26 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\zeta producer
2008-03-17 12:44 . 2008-03-17 12:45 <DIR> d-------- C:\Programme\zeta producer Desktop 7
2008-03-17 11:55 . 2008-03-17 12:05 <DIR> d-------- C:\Programme\Security Task Manager
2008-03-17 11:55 . 2008-03-17 17:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-03-15 19:32 . 2008-03-15 19:32 <DIR> d-------- C:\Programme\Easy Thumbnails
2008-03-15 19:32 . 2008-03-15 19:35 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Easy Thumbnails
2008-03-12 17:37 . 2008-03-12 17:44 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias\fdrprojects
2008-03-12 17:37 . 2008-03-12 17:41 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\fdrtools.com
2008-03-12 17:30 . 2008-03-12 17:30 <DIR> d-------- C:\Programme\FDRTools
2008-03-12 17:30 . 2008-03-12 17:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fdrtools.com
2008-03-11 16:07 . 2008-03-11 09:14 274,432 --a------ C:\WINDOWS\altvxvm.dll
2008-03-11 16:07 . 2008-03-11 09:14 217,088 --a------ C:\WINDOWS\bokpkov.dll
2008-03-11 16:07 . 2008-03-11 09:14 98,304 --a------ C:\WINDOWS\fmsxwqs.exe
2008-03-11 14:06 . 2008-03-11 14:06 <DIR> d-------- C:\Programme\WinHTTrack
2008-03-11 14:06 . 2008-03-18 18:08 <DIR> d----c--- C:\Meine Webseiten
2008-03-09 19:47 . 2008-03-09 19:47 <DIR> d-------- C:\Programme\Microsoft IntelliPoint
2008-03-09 14:11 . 2008-03-09 14:11 <DIR> d-------- C:\Programme\Snoopy
2008-03-08 10:35 . 2008-03-08 10:37 <DIR> d--h----- C:\WINDOWS\msdownld.tmp
2008-03-08 10:33 . 2008-03-08 10:33 <DIR> d-------- C:\Programme\RedlightCenter
2008-03-08 10:33 . 2008-03-08 10:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PocketSoft
2008-03-05 17:55 . 2008-03-05 17:55 <DIR> d-------- C:\Programme\Astragon
2008-03-05 17:55 . 2000-08-19 21:29 268,048 --a------ C:\WINDOWS\system32\dxtmeta2.dll
2008-03-04 14:56 . 2008-03-04 14:56 <DIR> d-------- C:\Programme\Sibelius Software
2008-03-04 14:56 . 2008-03-04 14:56 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sibelius Software
2008-03-04 14:02 . 2004-08-04 00:57 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-03-04 14:02 . 2004-08-04 00:57 21,504 --a------ C:\WINDOWS\system32\dllcache\hidserv.dll
2008-03-03 19:40 . 2005-11-11 18:51 55,168 --------- C:\WINDOWS\system32\drivers\sdcplh.sys
2008-02-29 19:51 . 2008-02-29 19:52 <DIR> d-------- C:\Programme\WolfQuest
2008-02-29 17:01 . 2008-02-29 17:01 <DIR> d----c--- C:\PSFONTS
2008-02-29 17:01 . 2008-03-05 14:36 <DIR> d-------- C:\Programme\Finale NotePad 2007
2008-02-24 13:36 . 2008-02-24 13:36 <DIR> d-------- C:\Programme\Albatross
2008-02-24 11:52 . 2008-02-24 11:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DirectX
2008-02-24 11:41 . 2008-02-24 11:52 <DIR> d-------- C:\Programme\MotoGP
2008-02-24 11:37 . 2008-03-06 21:40 <DIR> d-------- C:\Programme\Flashbax
2008-02-22 15:33 . 2008-02-22 15:33 <DIR> d----c--- C:\DVDVideoSoft
2008-02-22 15:29 . 2008-02-22 17:12 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-02-22 15:29 . 2008-02-22 17:12 <DIR> d-------- C:\Programme\DVDVideoSoft
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-22 13:10 --------- d-----w C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Launchy
2008-03-21 16:32 --------- d-----w C:\Programme\Eraser
2008-03-21 16:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-20 23:54 --------- d-----w C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Orbit
2008-03-20 21:41 --------- d-----w C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\DNA
2008-03-18 17:17 --------- d-----w C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\BitTorrent
2008-03-12 17:02 185,006 ----a-w C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\mdb.bin
2008-03-12 16:57 --------- d-----w C:\Programme\myphotobook
2008-03-11 15:44 --------- d-----w C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\LimeWire
2008-03-11 14:18 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-03-10 14:59 --------- d-----w C:\Programme\Lx_cats
2008-03-08 09:33 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-08 09:00 --------- d-----w C:\Programme\Orbitdownloader
2008-03-06 20:06 112,736 ----a-w C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-03-06 20:04 --------- d-----w C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\gtk-2.0
2008-02-27 17:50 --------- d-----w C:\Programme\ICQ6
2008-02-23 14:24 --------- d-----w C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\dvdcss
2008-02-23 13:58 --------- d-----w C:\Programme\LimeWire
2008-02-22 13:05 --------- d-----w C:\Programme\Hewlett-Packard
2008-02-16 12:01 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-02-15 19:30 691,545 ----a-w C:\WINDOWS\unins000.exe
2008-02-15 18:30 --------- d-----w C:\Programme\Nvu
2008-02-13 13:27 --------- d-----w C:\Programme\TrackMania Nations ESWC
2008-02-12 12:55 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-10 15:02 --------- d-----w C:\Programme\Wise Registry Cleaner
2008-02-09 15:39 --------- d-----w C:\Programme\Winamp
2008-02-09 15:35 --------- d-----w C:\Programme\Zylom Games
2008-02-08 09:38 --------- d-----w C:\Programme\Windows Live Writer
2008-02-08 09:02 --------- d-----w C:\Programme\FreeMind
2008-02-07 20:44 --------- d-----w C:\Programme\No23 Recorder
2008-02-06 11:53 --------- d-----w C:\Programme\eRightSoft
2008-02-05 22:02 --------- d-----w C:\Programme\VVSN
2008-02-05 19:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-02-05 19:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-02-02 13:59 --------- d-----w C:\Programme\Torrent Search
2008-02-02 13:57 --------- d-----w C:\Programme\DNA
2008-02-02 13:57 --------- d-----w C:\Programme\BitTorrent
2008-01-29 14:12 --------- d-----w C:\Programme\Audible
2008-01-28 21:05 --------- d-----w C:\Programme\JavaZuL
2008-01-26 18:10 20 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLec.DAT
2008-01-26 18:08 20 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLds.DAT
2008-01-24 12:11 --------- d-----w C:\Programme\TEVION
2008-01-22 17:13 --------- d-----w C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Winamp
2008-01-22 14:53 --------- d-----w C:\Programme\America's Army
2008-01-02 10:08 20,992 ----a-w C:\WINDOWS\jestertb.dll
2007-12-24 20:33 342 ----a-w C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\wklnhst.dat
2007-08-27 20:00 62,992 ----a-w C:\Dokumente und Einstellungen\Musik\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-12-28 20:22 7,168 --sha-w C:\Programme\Thumbs.db
2006-06-22 13:13 132,242 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.
((((((((((((((((((((((((((((( snapshot@2008-03-22_14.18.46,67 )))))))))))))))))))))))))))))))))))))))))
.
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2008-03-22 13:25:41 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_3a4.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Rasmpc]
@={9D1F87E7-4D72-41AB-9D57-D101A08F20E5}
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="C:\Programme\Eraser\eraser.exe" [2006-12-26 01:23 643072]
"EPSON Stylus D92 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.exe" [2006-09-27 05:00 139264]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2005-11-08 16:35 61952 C:\WINDOWS\system32\CHDAudPropShortcut.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-11-11 09:04 761945]
"QPService"="C:\Programme\HP\QuickPlay\QPService.exe" [2005-12-12 11:39 94208]
"eabconfg.cpl"="C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" [2005-12-07 10:56 409600]
"Cpqset"="C:\Programme\HPQ\Default Settings\cpqset.exe" [2005-06-29 13:48 233534]
"RecGuard"="C:\Windows\SMINST\RecGuard.exe" [2005-10-11 10:23 1187840]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" []
"LXCFCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll" [2005-04-27 15:20 69632]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-15 15:08 249896]
"EPSON Stylus DX4800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.exe" [2005-02-02 05:00 98304]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-02-07 07:39 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-02-07 07:36 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-02-07 07:40 118784]
"HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-25 18:58 282624]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 16:50 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50 81920]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-05-28 15:35 185896]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 16:14 50688]
"Arcor Online"="" []
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2005-03-24 00:26 217088]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 02:17 443968]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"FoFileAssociate"= 1 (0x1)
"NoUserNameInStartMenu"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"bokpkov"= {B659783A-32A0-4B48-A56B-E2FE59E3A624} - C:\WINDOWS\bokpkov.dll [2008-03-11 09:14 217088]
"altvxvm"= {1420E6D5-6C27-4A56-BA35-18764967E43D} - C:\WINDOWS\altvxvm.dll [2008-03-11 09:14 274432]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonui.exe"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe"
"Device Detection"=C:\Programme\fotokasten comfort - Tchibo Edition\dd.exe
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"hpWirelessAssistant"=C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\lxcfcoms.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\WS_FTP\\WS_FTP95.exe"=
"C:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"C:\\Programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"C:\\Programme\\America's Army\\System\\ArmyOps.exe"=
"C:\\Programme\\America's Army\\System\\Server.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"C:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Programme\\sixteen tons entertainment\\Emergency 4 Deluxe\\Em4Deluxe.exe"=
"C:\\Programme\\Sierra\\FEARCombat\\FEARServer.exe"=
"C:\\Programme\\Sierra\\FEARCombat\\fpupdate.exe"=
"C:\\Programme\\Sierra\\FEARCombat\\FEARMP.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
"C:\\Gamigo Games\\Smash Online\\SmashOnline.exe"=
"D:\\xampp\\apache\\bin\\apache.exe"=
"C:\\Programme\\RedlightCenter\\RedLightCenter\\Redlightcenter.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\concept design\\onlineTV 3\\onlineTV.exe"=
R1 sdcplh;sdcplh;C:\WINDOWS\system32\drivers\sdcplh.sys [2005-11-11 18:51]
S2 NmpdrvN;Audio Player USB Controller;C:\WINDOWS\system32\Drivers\NmpdrvN.sys [2003-06-09 18:58]
S3 067ada4c-d14b-4717-aa9e-f310e1c81e4c;067ada4c-d14b-4717-aa9e-f310e1c81e4c;E:\Player\cds300.dll []
S3 c102e13a-e62d-4573-a6cb-c1df3a66a9e3;c102e13a-e62d-4573-a6cb-c1df3a66a9e3;E:\Player\cds300.dll []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18]
S3 FontCache6.0.5070.0;WinFX Font Cache 6.0.5070.0;C:\WINDOWS\Microsoft.NET\Windows\v6.0.5070\PresentationFontCache.exe [2005-11-06 22:29]
S3 gUSBSTOi;gUSBSTOi;C:\DOKUME~1\Tobias\LOKALE~1\Temp\gUSBSTOi.sys []
S3 SPC610NC;SPC 610NC Laptop Camera;C:\WINDOWS\system32\DRIVERS\SPC610NC.SYS [2005-09-07 20:39]
S3 UPnPService;UPnPService;C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 16:00]
S4 Apache2.2;Apache2.2;"D:\xampp\apache\bin\apache.exe" -k runservice []
S4 itcppss;Indigo Tcp Port Sharing Service;C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\IndigoListener.exe [2005-11-17 23:48]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\setup.exe
.
Contents of the 'Scheduled Tasks' folder
"2006-07-19 19:32:05 C:\WINDOWS\Tasks\Low Battery Alarm Program.job"
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-22 14:26:43
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Programme\HPQ\Default Settings\cpqset.exe????????????8?9?7?4??????? ???B?????????????hLC????????
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\bokpkov.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\xampp\filezillaftp\filezillaserver.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
D:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Launchy\Launchy.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Google\Web Accelerator\GoogleWebAccWarden.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Google\Web Accelerator\googlewebaccclient.exe
C:\WINDOWS\system32\msiexec.exe
.
**************************************************************************
.
Completion time: 2008-03-22 14:33:41 - machine was rebooted [Tobias]
ComboFix-quarantined-files.txt 2008-03-22 13:33:38
.
2008-03-07 18:32:59 --- E O F ---
|
|
22.03.2008, 14:42
| #4 |
| Administrator > Competence Manager | Worm Win32 NetSky...-- Rouge Spyware -- * Downloade RVAXO.exe von hier --> http://home.hetnet.nl/~stefsmeenk/RVAXO.exe * Speichere es auf dem Desktop. * starte die RVAXO.exe mit einem Doppelklick * eventuell öffnet sich ein Uninstaller * schliesse ihn nicht, lass das Programm laufen * Starte deinen Rechner danach neu * nach dem Neustart mach einen Doppelklick auf die RVAXO.exe * ist sehr wichtig! * das Logfile findest du hier: C:\RVAXO-results.log Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis -Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.exe -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
01.07.2008, 17:16
| #5 |
| |  Worm Win32 NetSky... Hallo sunshine durchsuche mal deinen Pc und die Dienst-Liste nach "hpz12". Wenn da Einträge exestieren erst mal in den Papaierkorp (nicht löschen, fals es die falschen waren. Nur in Papierkorb!) Dann durchsuchste mal die Registry nach "Virus Alert" und ändere die Gefunden Einträge wieder ins Orginal. Fals der Virus dann nicht mehr auftaucht und es keine ungewollten Nebenwirkungen gibt: 1. Registry irgendwo hinspeichern (als Sicherung) 2. Registry nach "hpz12" durchsuchen und Einträge löschen 3. Wenn alles noch geht und keine nebenwirkungen aufgetreten sind: Sicherungsdatei löschen 4. Fals Nebenwirkungen aufgetreten sind: Registry durch Sicherung ersetzen und jemand andren wegen dem Virus fragen |
|
| Themen zu Worm Win32 NetSky... |
| adobe, antivir, avira, bho, c:\windows\temp, computer, downloader, drivers, eraser, firefox, google, hijack, hijackthis, hijackthis logfile, hilfe!!, internet, internet explorer, launch, logfile, magix, malware, mozilla, mozilla firefox, mssql, photoshop, pop-up, rundll, shortcut, software, usb, warnung, windows, windows xp, windows\system32\drivers, windows\temp, wurm |
Linear-Darstellung
