Vundo? Removaltools finden nichts.

z3c · 26.05.2008, 07:27

Mein FreeAV meldet alle Nase lang (mal ein Stunde, mal mehre Stunden) eine DLL Dateien (z.B. C:\WINDOWS\system32\wvUlmnkk.dll) mit der Infektion TR/Crypt.XPACK.Gen und einen Ordner/eine Datei im temporärern IE-Verzeichnis. Diese kann man auch erfolgreich löschen.
Analyse wvUlmnkk.dll

Da die Meldung wiederkehrt war mir klar das da noch irgend etwas im System steckt. Der Übeltäter scheint C:\WINDOWS\system32\qoMcbBQg.dll zu sein. Analyse qoMcbBQg.dll

Leider habe ich keinen Erfolg gehabt die Malware per Removal-Tool zu entfernen. Diese Tools finden einfach nichts.

Vielleicht könnt Ihr mir ja weiterhelfen. Mein PC war seid 5 Jahren c.a. Virenfrei, also hab ich nicht so die Ahnung wie man da genau vorgeht

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:02:02, on 26.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Highresolution Enterprises\X-Mouse Button Control (32bit Version)\XMouseButtonControl.exe
C:\Programme\Pidgin\pidgin.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nero.com/de/sp_file_main.php%22
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {B6E95516-27C0-443D-9BA9-ABD8C12BAE16} - C:\WINDOWS\system32\qoMcbBQg.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [XMouseButton] C:\Programme\Highresolution Enterprises\X-Mouse Button Control (32bit Version)\XMouseButtonControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Pidgin] C:\Programme\Pidgin\pidgin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D734160F-687A-4B6F-B769-154CC262C333}: NameServer = 192.168.0.1
O20 - Winlogon Notify: qoMcbBQg - C:\WINDOWS\SYSTEM32\qoMcbBQg.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4575 bytes

myrtille · 26.05.2008, 09:21

Hi,

lass bitte mal folgendes Tool durchlaufen:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille

z3c · 26.05.2008, 09:55

ComboFix 08-05-25.3 - ZENSIERT 2008-05-26 10:43:13.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.689 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\ZENSIERT\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-26 bis 2008-05-26 ))))))))))))))))))))))))))))))
.

2008-05-26 10:34 . 2008-05-26 10:34 <DIR> d-------- C:\Programme\CCleaner
2008-05-26 07:51 . 2008-05-26 07:51 <DIR> d-------- C:\VundoFix Backups
2008-05-26 07:41 . 2008-05-26 07:41 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\Malwarebytes
2008-05-26 07:41 . 2008-05-26 07:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2008-05-25 02:32 . 2008-05-25 02:32 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\AdobeUM
2008-05-24 23:16 . 2008-05-24 23:39 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\PlaneShift
2008-05-24 22:57 . 2008-05-24 22:57 58,368 --a------ C:\WINDOWS\system32\qoMcbBQg.dll
2008-05-22 04:29 . 2008-05-22 04:29 <DIR> d-------- C:\Programme\DivX
2008-05-22 00:37 . 2008-05-22 00:37 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\.thumbnails
2008-05-22 00:36 . 2008-05-22 00:38 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\.gimp-2.2
2008-05-22 00:35 . 2008-05-22 00:36 <DIR> d-------- C:\Programme\GIMPshop
2008-05-19 22:55 . 2008-05-22 01:14 <DIR> d-------- C:\Programme\Freeciv-2.1.4-gtk2
2008-05-13 21:23 . 2008-05-13 21:23 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\jamplayer
2008-05-13 21:23 . 2008-05-13 21:23 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\jamfiles
2008-05-13 21:22 . 2008-05-13 21:22 <DIR> d-------- C:\Programme\Jamendo
2008-05-13 21:22 . 2008-05-13 21:22 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\pyjama
2008-05-12 21:51 . 2008-05-12 21:51 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\OpenArena
2008-04-29 21:05 . 2008-04-29 21:33 196 --a------ C:\WINDOWS\appr.ini
2008-04-29 21:03 . 2008-04-29 21:03 <DIR> d-------- C:\Programme\AEBPR
2008-04-29 21:03 . 2008-04-29 21:05 195 --a------ C:\WINDOWS\aebpr.ini
2008-04-28 13:06 . 2008-04-28 13:06 <DIR> d-------- C:\Programme\Lugaru
2008-04-28 13:06 . 2004-05-27 18:12 864,256 --a------ C:\WINDOWS\system32\DevIL.dll
2008-04-28 13:06 . 2004-10-18 12:04 161,280 --a------ C:\WINDOWS\system32\fmod.dll
2008-04-28 13:06 . 2004-05-27 18:12 81,920 --a------ C:\WINDOWS\system32\ILU.dll
2008-04-28 13:06 . 2004-05-27 18:28 36,864 --a------ C:\WINDOWS\system32\ILUT.dll
2008-04-27 22:00 . 2008-04-27 22:17 <DIR> d-------- C:\Programme\Bos Wars
2008-04-27 20:54 . 2008-04-27 21:04 <DIR> d-------- C:\Programme\ASC

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-26 08:41 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\.purple
2008-05-26 08:37 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2008-05-26 05:29 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-05-26 04:33 --------- d-----w C:\Programme\Trend Micro
2008-05-25 05:43 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\gtk-2.0
2008-05-24 22:57 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\uTorrent
2008-05-24 21:08 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-05-23 21:36 --------- d-----w C:\Programme\Zak2
2008-05-23 21:35 39,634 ----a-w C:\Programme\messages.log
2008-05-22 03:39 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\OpenOffice.org2
2008-05-13 14:00 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\AdobeUM
2008-04-25 03:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-25 03:07 --------- d-----w C:\Programme\PC Inspector File Recovery
2008-04-25 03:03 --------- d-----w C:\Programme\Alexander Grau
2008-04-25 02:58 --------- d-----w C:\Programme\Western Digital
2008-04-16 15:59 --------- d-----w C:\Programme\uTorrent
2008-04-05 15:39 --------- d--h--w C:\Programme\CanonBJ
2008-04-03 17:06 --------- d-----w C:\Programme\xp-Iso-Builder
2008-04-03 17:03 --------- d-----w C:\Programme\Spring
2008-04-03 17:02 --------- d-----w C:\Programme\Pegasus Imaging
2008-04-03 17:01 --------- d-----w C:\Programme\Macromedia
2008-04-03 17:00 --------- d-----w C:\Programme\ITIME
2008-04-03 16:59 --------- d-----w C:\Programme\HLSW
2008-04-03 16:59 --------- d-----w C:\Programme\GY Sitemapper
2008-04-03 16:58 --------- d-----w C:\Programme\Aspell
2008-04-03 16:57 --------- d-----w C:\Programme\VstPlugins
2008-04-03 16:56 --------- d-----w C:\Programme\DMXControl
2008-04-03 16:51 --------- d-----w C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\VMware
2008-04-03 16:49 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\VMware
2008-04-03 16:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis
2008-04-03 16:47 --------- d-----w C:\Programme\Apperson
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}]
2008-05-24 22:57 58368 --a------ C:\WINDOWS\system32\qoMcbBQg.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Pidgin"="C:\Programme\Pidgin\pidgin.exe" [2007-12-07 20:53 44658]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 11:11 262401]
"XMouseButton"="C:\Programme\Highresolution Enterprises\X-Mouse Button Control (32bit Version)\XMouseButtonControl.exe" [2006-09-13 21:50 335872]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 01:07 8491008]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-12-12 17:09:21 110592]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}"= C:\WINDOWS\system32\qoMcbBQg.dll [2008-05-24 22:57 58368]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMcbBQg]
qoMcbBQg.dll 2008-05-24 22:57 58368 C:\WINDOWS\system32\qoMcbBQg.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WengoPhoneNG"=C:\Programme\WengoPhone\qtwengophone.exe -b
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SE-CS Internettime"=C:\Programme\ITIME\itime.exe
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2006-11-22 15:27]
S1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;C:\WINDOWS\system32\drivers\hcw88aud.sys [2005-12-05 17:23]
S3 asbp2poa;asbp2poa;C:\DOKUME~1\ZENSIERT\LOKALE~1\Temp\asbp2poa.sys []
S3 atirage;atirage;C:\WINDOWS\system32\DRIVERS\atiragem.sys [2001-08-18 04:19]
S3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;C:\WINDOWS\system32\drivers\hcw88bda.sys [2005-12-05 17:24]
S3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;C:\WINDOWS\system32\Drivers\hcw88rc5.sys [2005-12-05 17:26]
S3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;C:\WINDOWS\system32\drivers\hcw88tse.sys [2005-12-05 17:26]
S3 hcw88vid;Hauppauge WinTV 88x Video;C:\WINDOWS\system32\drivers\hcw88vid.sys [2005-12-05 17:27]
S3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;C:\WINDOWS\system32\drivers\HCW88BAR.sys [2005-12-05 17:22]
S3 mgau;mgau;C:\WINDOWS\system32\DRIVERS\mgaum.sys [2001-08-18 04:22]
S3 TMPassthruMP;TMPassthruMP;C:\WINDOWS\system32\DRIVERS\TMPassthru.sys []
S3 ZD1211U(WLAN);802.11g USB 2.0 WLAN Adapter(WLAN);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2005-08-16 07:50]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER
Rootkit scan 2008-05-26 10:44:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\qoMcbBQg.dll
.
Zeit der Fertigstellung: 2008-05-26 10:46:22
ComboFix-quarantined-files.txt 2008-05-26 08:46:06

9 Verzeichnis(se), 3,547,852,800 Bytes frei
12 Verzeichnis(se), 3,545,296,896 Bytes frei

143 --- E O F --- 2008-05-16 01:52:37

myrtille · 26.05.2008, 10:06

Hi,
mache bitte folgendes:
Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

file::
C:\WINDOWS\system32\qoMcbBQg.dll
registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMcbBQg]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{B6E95516-27C0-443D-9BA9-ABD8C12BAE16}"=-

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

lg myrtille

z3c · 26.05.2008, 10:26

Es hat anscheinend geklappt, jedenfalls ist die Datei verschwunden.

Vielen Dank für die Hilfe

ComboFix 08-05-25.3 - ZENSIERT 2008-05-26 11:09:13.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.687 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\ZENSIERT\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\ZENSIERT\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\qoMcbBQg.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\qoMcbBQg.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-26 bis 2008-05-26 ))))))))))))))))))))))))))))))
.

2008-05-26 10:34 . 2008-05-26 10:34 <DIR> d-------- C:\Programme\CCleaner
2008-05-26 07:51 . 2008-05-26 07:51 <DIR> d-------- C:\VundoFix Backups
2008-05-26 07:41 . 2008-05-26 07:41 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\Malwarebytes
2008-05-26 07:41 . 2008-05-26 07:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2008-05-24 23:16 . 2008-05-24 23:39 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\PlaneShift
2008-05-22 04:29 . 2008-05-22 04:29 <DIR> d-------- C:\Programme\DivX
2008-05-22 00:37 . 2008-05-22 00:37 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\.thumbnails
2008-05-22 00:36 . 2008-05-22 00:38 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\.gimp-2.2
2008-05-22 00:35 . 2008-05-22 00:36 <DIR> d-------- C:\Programme\GIMPshop
2008-05-19 22:55 . 2008-05-22 01:14 <DIR> d-------- C:\Programme\Freeciv-2.1.4-gtk2
2008-05-13 21:23 . 2008-05-13 21:23 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\jamplayer
2008-05-13 21:23 . 2008-05-13 21:23 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\jamfiles
2008-05-13 21:22 . 2008-05-13 21:22 <DIR> d-------- C:\Programme\Jamendo
2008-05-13 21:22 . 2008-05-13 21:22 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\pyjama
2008-05-12 21:51 . 2008-05-12 21:51 <DIR> d-------- C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\OpenArena
2008-04-29 21:05 . 2008-04-29 21:33 196 --a------ C:\WINDOWS\appr.ini
2008-04-29 21:03 . 2008-04-29 21:03 <DIR> d-------- C:\Programme\AEBPR
2008-04-29 21:03 . 2008-04-29 21:05 195 --a------ C:\WINDOWS\aebpr.ini
2008-04-28 13:06 . 2008-04-28 13:06 <DIR> d-------- C:\Programme\Lugaru
2008-04-28 13:06 . 2004-05-27 18:12 864,256 --a------ C:\WINDOWS\system32\DevIL.dll
2008-04-28 13:06 . 2004-10-18 12:04 161,280 --a------ C:\WINDOWS\system32\fmod.dll
2008-04-28 13:06 . 2004-05-27 18:12 81,920 --a------ C:\WINDOWS\system32\ILU.dll
2008-04-28 13:06 . 2004-05-27 18:28 36,864 --a------ C:\WINDOWS\system32\ILUT.dll
2008-04-27 22:00 . 2008-04-27 22:17 <DIR> d-------- C:\Programme\Bos Wars
2008-04-27 20:54 . 2008-04-27 21:04 <DIR> d-------- C:\Programme\ASC

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-26 09:13 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\.purple
2008-05-26 08:55 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-05-26 08:37 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2008-05-26 04:33 --------- d-----w C:\Programme\Trend Micro
2008-05-25 05:43 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\gtk-2.0
2008-05-24 22:57 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\uTorrent
2008-05-24 21:08 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-05-23 21:36 --------- d-----w C:\Programme\Zak2
2008-05-23 21:35 39,634 ----a-w C:\Programme\messages.log
2008-05-22 03:39 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\OpenOffice.org2
2008-05-13 14:00 --------- d-----w C:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\AdobeUM
2008-04-25 03:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-25 03:07 --------- d-----w C:\Programme\PC Inspector File Recovery
2008-04-25 03:03 --------- d-----w C:\Programme\Alexander Grau
2008-04-25 02:58 --------- d-----w C:\Programme\Western Digital
2008-04-16 15:59 --------- d-----w C:\Programme\uTorrent
2008-04-05 15:39 --------- d--h--w C:\Programme\CanonBJ
2008-04-03 17:06 --------- d-----w C:\Programme\xp-Iso-Builder
2008-04-03 17:03 --------- d-----w C:\Programme\Spring
2008-04-03 17:02 --------- d-----w C:\Programme\Pegasus Imaging
2008-04-03 17:01 --------- d-----w C:\Programme\Macromedia
2008-04-03 17:00 --------- d-----w C:\Programme\ITIME
2008-04-03 16:59 --------- d-----w C:\Programme\HLSW
2008-04-03 16:59 --------- d-----w C:\Programme\GY Sitemapper
2008-04-03 16:58 --------- d-----w C:\Programme\Aspell
2008-04-03 16:57 --------- d-----w C:\Programme\VstPlugins
2008-04-03 16:56 --------- d-----w C:\Programme\DMXControl
2008-04-03 16:49 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\VMware
2008-04-03 16:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis
2008-04-03 16:47 --------- d-----w C:\Programme\Apperson
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
.

((((((((((((((((((((((((((((( snapshot@2008-05-26_10.45.30,85 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-26 03:10:34 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-26 09:12:00 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Pidgin"="C:\Programme\Pidgin\pidgin.exe" [2007-12-07 20:53 44658]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 11:11 262401]
"XMouseButton"="C:\Programme\Highresolution Enterprises\X-Mouse Button Control (32bit Version)\XMouseButtonControl.exe" [2006-09-13 21:50 335872]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 01:07 8491008]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WengoPhoneNG"=C:\Programme\WengoPhone\qtwengophone.exe -b
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SE-CS Internettime"=C:\Programme\ITIME\itime.exe
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2006-11-22 15:27]
S1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;C:\WINDOWS\system32\drivers\hcw88aud.sys [2005-12-05 17:23]
S3 asbp2poa;asbp2poa;C:\DOKUME~1\ZENSIERT\LOKALE~1\Temp\asbp2poa.sys []
S3 atirage;atirage;C:\WINDOWS\system32\DRIVERS\atiragem.sys [2001-08-18 04:19]
S3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;C:\WINDOWS\system32\drivers\hcw88bda.sys [2005-12-05 17:24]
S3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;C:\WINDOWS\system32\Drivers\hcw88rc5.sys [2005-12-05 17:26]
S3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;C:\WINDOWS\system32\drivers\hcw88tse.sys [2005-12-05 17:26]
S3 hcw88vid;Hauppauge WinTV 88x Video;C:\WINDOWS\system32\drivers\hcw88vid.sys [2005-12-05 17:27]
S3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;C:\WINDOWS\system32\drivers\HCW88BAR.sys [2005-12-05 17:22]
S3 mgau;mgau;C:\WINDOWS\system32\DRIVERS\mgaum.sys [2001-08-18 04:22]
S3 TMPassthruMP;TMPassthruMP;C:\WINDOWS\system32\DRIVERS\TMPassthru.sys []
S3 ZD1211U(WLAN);802.11g USB 2.0 WLAN Adapter(WLAN);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2005-08-16 07:50]

*Newly Created Service* - PGFILTER
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER
Rootkit scan 2008-05-26 11:13:00
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wbem\wmiadap.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-26 11:16:22 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-26 09:16:19
ComboFix2.txt 2008-05-26 08:46:23

9 Verzeichnis(se), 3,514,093,568 Bytes frei
11 Verzeichnis(se), 3,518,373,888 Bytes frei

154 --- E O F --- 2008-05-16 01:52:37

myrtille · 26.05.2008, 10:33

Sieht gut aus.

Combofix kannst du jetzt deinstallieren indem du unter Start->Ausführen->combofix /u eingibst.

Erstelle zum Abschluss noch ein Hijakcthislog.

lg myrtille

z3c · 26.05.2008, 10:40

Könnte jemand Interesse an der in Quarantäne gestellten dll haben? Avira hab ich sie bereits gemeldet, erkannt wird sie ja leider nicht (erst die von der dll nachgeladenen dlls werden erkannt).

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:35:05, on 26.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Highresolution Enterprises\X-Mouse Button Control (32bit Version)\XMouseButtonControl.exe
C:\Programme\Pidgin\pidgin.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Nero – Nero AG ? Marktführer im Bereich Lösungen für digitale Medien - offizielle Webseite
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [XMouseButton] C:\Programme\Highresolution Enterprises\X-Mouse Button Control (32bit Version)\XMouseButtonControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Pidgin] C:\Programme\Pidgin\pidgin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D734160F-687A-4B6F-B769-154CC262C333}: NameServer = 192.168.0.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 4698 bytes

myrtille · 26.05.2008, 10:45

Hi,
wenn du Lust und Laune hast, kannst du die Datei zb bei virustotal hochladen.
Dort kannst du zum einen sehen, wer die Datei erkennt und zum andern wird das Sample dann an die dort gelisteten Antivirenprogrammhersteller weitergeleitet.

Dein Java ist übrigens veraltet. Am besten (alle) über Start->Systemsteuerung->Software deinstallieren und danach das neueste von sun installieren.

lg myrtille

z3c · 26.05.2008, 11:49

danke für den Tipp mit dem java XD Hab irgendwann die Updatefunktion ausgeschaltet weils nervte. Werds runterschmeißen und nicht neu installieren. Muss eigentlich eh mal aufräumen.

Die Datei hatte ich ja bereits bei Virustotal hochgeladen.

Dann kann ich ja den ganzen Rotz so löschen

Vielen Dank noch mal. Hast mir echt geholfen :aplaus:

26.05.2008, 10:33	#6
myrtille /// TB-Ausbilder	Vundo? Removaltools finden nichts. Sieht gut aus. Combofix kannst du jetzt deinstallieren indem du unter Start->Ausführen->combofix /u eingibst. Erstelle zum Abschluss noch ein Hijakcthislog. lg myrtille __________________ --> Vundo? Removaltools finden nichts.

Vundo? Removaltools finden nichts.

Log-Analyse und Auswertung: Vundo? Removaltools finden nichts.