Brauche dringend Hilfe bei "Trojan.Win32.Monder.gen"

Member · 22.06.2008, 11:09

Hi! Ich brauche dringend Hilfe! Muss heute unbedingt noch ein Projekt für die FH fertig bekommen und stehe jetzt ziemlich doof da... Versuche seit gestern den Trojaner los zu werden. Kaspersky hat den zwar gefunden, konnte ihn aber nicht desinfizieren. Will auch nicht mehr kaputt machen als nötig... Hab gerade schon mit HijackThis ein Logfile erstellt. Gibt es jemanden der mir helfen würde?

Der Fehler tritt jedesmal auf wenn ich im Arbeitsplatz versuche Ordner zu öffnen. Dann kommt jedes mal eine Warnung:
"System Error! Attention,XXX! Some dangerous trojan horses detected in your system. Microsoft Windows XP files corrupted. This may lead to the destruction of important files in C:\WINDOWS. Download protection software now! Click OK to download the antispyware. (Recommended) Ja Nein"

Hier die Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:50:28, on 22.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\pdf24\PDFBackend.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IE ext - {2FF811E6-8925-4084-A649-C159955E67E8} - C:\WINDOWS\system32\codef.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDFBackend.exe"
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2008_PLUS_e-version\TrayServer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe

--
End of file - 9029 bytes

Ich hoffe das der post ist jetzt regelkonform

mfg
Member

undoreal · 22.06.2008, 11:24

Hallöle.

Zitat:

Hab gerade schon mit HijackThis ein Logfile erstellt. Gibt es jemanden der mir helfen würde?

Aber klaro.. =)

Wenn du uns dann das HJT log noch posten würdest wäre das ganz prima...^^

Das ist eigentlich nicht sehr ratsam aber da du in Not bist und es schnell gehen soll packen wir ausnahmsweise mal gleich die Brechstange aus.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Member · 22.06.2008, 11:42

Vielen Dank schonmal für die Hilfe!

Ich hab das HJT Log jetzt in meinem ersten Post ergänzt.

Also was genau ist jetzt der erte Schritt?
Zuert CCleaner oder erst combofix.exe starten?

irrlicht · 22.06.2008, 11:49

Hallo,
dein allererster Schritt sollte das lesen der Anleitung sein !!!

Der Leitfaden und Tutorium zu Combofix wurde dir nicht umsonst gepostet !!!
Irrlicht

Member · 22.06.2008, 11:59

Hab die Anleitung jetzt nochmal gelesen, aber finde da nirgendwo einen Zusammenhang zwischen den beiden Programmen. Mit meinen sperrlichen Kenntnissen über Software dieser Art kann ich da auch nicht zwischen den Zeilen lesen.. Wäre nett wenn Ihr mir da ein wenig mehr auf die Sprünge helfen würdet, da ich wie gesagt null Ahnung habe wie ich es angehen muss und auf keinen Fall meinen Rechner schrotten möchte.

irrlicht · 22.06.2008, 12:03

Da ich nicht neben dir sitze um dir die Hand zu führen bzw.das für dich machen kann,kann ich dir nur nochmals empfehlen den Hinweisen in "Undoreals" Post nochmal zu lesen.
Darin ist genau aufgeführt wann was zu tun ist.
Im Tutorium findet sich mittlerweile kein Hinweis mehr zu dem Cleaner.Meines Wissens war dort aber explizit hingewiesen worden,oder ?
Wenn du das nicht hinbekommst ist dir leider nicht zuhelfen...
Irrlicht

Member · 22.06.2008, 12:09

ARRRR, das ist wieder typisch...
Hatte mal wieder ein Brett vor'm Kopf. Sorry

Melde mich dann gleich nochmal (hoffe ich)
Muss ja schließlich alles schließen

Member · 22.06.2008, 12:57

Soweit so gut. Habe combofix gerade ausgeführt mit folgendem Ergebnis:

Code:

ATTFilter

ComboFix 08-06-20.4 - xxx 2008-06-22 13:33:41.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.574 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2008-05-22 bis 2008-06-22  ))))))))))))))))))))))))))))))
.

2008-06-22 12:44 . 2008-06-22 12:44	<DIR>	d--------	C:\Programme\CCleaner
2008-06-21 17:59 . 2008-04-27 19:31	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-21 17:59 . 2008-04-27 20:24	<DIR>	dr-------	C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-06-21 17:59 . 2008-04-27 20:24	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-06-21 17:59 . 2008-06-22 13:34	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-21 17:59 . 2008-04-27 20:24	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-21 17:59 . 2008-04-27 20:24	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-06-21 17:59 . 2008-04-27 20:24	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-21 17:59 . 2008-06-21 17:59	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator
2008-06-21 17:09 . 2008-06-21 17:09	13,824	--a------	C:\WINDOWS\system32\codef.dll
2008-06-21 16:58 . 2008-06-21 17:03	<DIR>	d--------	C:\Programme\Fake Webcam
2008-06-15 17:34 . 2008-06-15 17:51	25	--a------	C:\WINDOWS\OverlayXP.ini
2008-06-15 17:32 . 2008-06-20 23:41	<DIR>	d--------	C:\Programme\wLite
2008-06-15 14:37 . 2008-06-15 14:37	<DIR>	d--------	C:\Programme\Free Video Converter
2008-06-15 13:54 . 2008-06-15 13:54	<DIR>	d--------	C:\WINDOWS\Mozilla
2008-06-15 11:59 . 2008-06-15 12:01	158	--a------	C:\Dokumente
2008-06-15 01:50 . 2008-06-15 11:34	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\MAGIX
2008-06-15 01:48 . 2008-06-15 01:48	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-06-15 00:40 . 2001-05-11 13:18	420,240	--a------	C:\WINDOWS\system32\mpg4c32.dll
2008-06-15 00:40 . 2001-05-16 17:54	309,616	--a------	C:\WINDOWS\system32\wmv8dmod.dll
2008-06-15 00:40 . 2001-03-26 04:41	245,760	--a------	C:\WINDOWS\system32\mp4sds32.ax
2008-06-15 00:40 . 2008-06-21 14:27	28	--a------	C:\WINDOWS\Robota.INI
2008-06-15 00:36 . 2008-06-15 11:30	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-06-15 00:35 . 2008-06-15 11:33	<DIR>	d--------	C:\WINDOWS\system32\MAGIX
2008-06-15 00:35 . 2008-06-15 11:33	<DIR>	d--------	C:\Programme\MAGIX
2008-06-15 00:35 . 2007-12-04 14:20	700,416	--a------	C:\WINDOWS\system32\mgxoschk.dll
2008-06-15 00:35 . 2007-04-27 09:43	120,200	--a------	C:\WINDOWS\system32\DLLDEV32i.dll
2008-06-15 00:35 . 2008-06-15 11:59	6,768	--a------	C:\WINDOWS\mgxoschk.ini
2008-06-14 13:59 . 2008-06-14 13:59	25,992	--a------	C:\WINDOWS\system32\pgdfgsvc.exe
2008-06-14 13:42 . 2008-06-14 13:43	<DIR>	d--------	C:\totalcmd
2008-06-14 13:42 . 2008-06-14 13:55	873	--a------	C:\WINDOWS\wincmd.ini
2008-06-14 13:42 . 2008-04-22 07:03	545	--a------	C:\WINDOWS\UC.PIF
2008-06-14 13:42 . 2008-04-22 07:03	545	--a------	C:\WINDOWS\RAR.PIF
2008-06-14 13:42 . 2008-04-22 07:03	545	--a------	C:\WINDOWS\PKZIP.PIF
2008-06-14 13:42 . 2008-04-22 07:03	545	--a------	C:\WINDOWS\PKUNZIP.PIF
2008-06-14 13:42 . 2008-04-22 07:03	545	--a------	C:\WINDOWS\NOCLOSE.PIF
2008-06-14 13:42 . 2008-04-22 07:03	545	--a------	C:\WINDOWS\LHA.PIF
2008-06-14 13:42 . 2008-04-22 07:03	545	--a------	C:\WINDOWS\ARJ.PIF
2008-06-14 13:14 . 2008-06-14 13:15	<DIR>	d--------	C:\Programme\pdf24
2008-06-14 13:07 . 2008-06-14 13:14	<DIR>	d--------	C:\Programme\PDFDrucker
2008-06-11 16:46 . 2008-06-21 10:27	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\.CABAReTStage_3.2
2008-06-11 16:44 . 2008-06-11 16:45	<DIR>	d--------	C:\Programme\CABAReT Stage 3.2
2008-06-11 08:18 . 2008-06-14 19:57	273,024	---------	C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 08:18 . 2008-06-14 19:57	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-08 10:07 . 2008-06-08 10:07	400	--a------	C:\WINDOWS\ODBC.INI
2008-06-07 23:09 . 2008-06-21 15:20	69	--a------	C:\WINDOWS\NeroDigital.ini
2008-06-07 13:37 . 2008-06-07 13:37	<DIR>	d--------	C:\WINDOWS\Applian FLV Player
2008-06-03 16:07 . 2008-06-03 16:07	<DIR>	d--------	C:\Programme\NeroInstall.bak
2008-06-03 16:05 . 2008-06-03 16:05	<DIR>	d--------	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Nero
2008-06-03 16:02 . 2008-06-03 16:02	<DIR>	d--------	C:\Programme\Nero
2008-06-03 16:02 . 2008-06-03 16:04	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Nero
2008-06-03 16:02 . 2008-06-03 16:02	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-06-03 08:21 . 2008-06-03 08:21	<DIR>	d--------	C:\Programme\MSXML 4.0
2008-05-31 13:28 . 2008-06-15 13:26	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-05-31 13:28 . 2008-05-31 13:28	1,409	--a------	C:\WINDOWS\QTFont.for
2008-05-28 18:09 . 2008-06-13 16:16	35	--a------	C:\WINDOWS\Ulead32.INI
2008-05-28 18:08 . 2004-08-03 22:58	15,104	--a------	C:\WINDOWS\system32\drivers\usbscan.sys
2008-05-28 18:08 . 2004-08-03 22:58	15,104	--a--c---	C:\WINDOWS\system32\dllcache\usbscan.sys
2008-05-28 18:07 . 2008-05-28 18:07	<DIR>	d--------	C:\Programme\Microtek
2008-05-28 17:22 . 2008-05-28 17:22	<DIR>	d--------	C:\Programme\SureThing CD Labeler 5
2008-05-28 17:22 . 2006-09-21 07:42	487,424	--a------	C:\WINDOWS\system32\msvcp70.dll
2008-05-28 17:09 . 2008-05-28 17:10	<DIR>	d--------	C:\Programme\CDex_170b2

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-22 11:35	11,463,456	--sha-w	C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-22 11:34	538,400	--sha-w	C:\WINDOWS\system32\drivers\fidbox2.dat
2008-06-22 09:33	---------	d-----w	C:\Programme\Mozilla Thunderbird
2008-06-22 09:33	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-21 17:32	57,332	--sha-w	C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-21 17:32	162,968	--sha-w	C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-15 10:04	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-06-14 22:07	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2008-06-14 08:47	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-06-13 06:28	---------	d-----w	C:\Programme\Hello
2008-06-07 11:37	---------	d-----w	C:\Programme\FLV Player
2008-06-03 16:55	---------	d-----w	C:\Programme\Microsoft Picture It! PhotoPub
2008-05-30 05:15	88,774	----a-w	C:\WINDOWS\system32\drivers\klick.dat
2008-05-28 15:22	---------	d-----w	C:\Programme\Gemeinsame Dateien\SureThing Shared
2008-05-28 14:31	96,966	----a-w	C:\WINDOWS\system32\drivers\klin.dat
2008-05-28 14:31	112,144	----a-w	C:\WINDOWS\system32\drivers\kl1.sys
2008-05-12 12:32	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
2008-05-12 12:21	---------	d-----w	C:\Programme\SureThing
2008-05-12 12:11	---------	d-----w	C:\Programme\Gemeinsame Dateien\LightScribe
2008-05-12 12:07	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Media Player Classic
2008-05-08 12:28	202,752	----a-w	C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14	1,293,312	----a-w	C:\WINDOWS\system32\quartz.dll
2008-05-02 08:05	36,624	------w	C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-05-02 08:05	2,560	------w	C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-05-02 08:05	2,432	------w	C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-05-02 08:05	158,456	------w	C:\WINDOWS\system32\pxwma.dll
2008-05-01 11:03	---------	d-----w	C:\Programme\Microsoft Works
2008-05-01 10:55	---------	d-----w	C:\Programme\Microsoft Works Suite 2001
2008-04-30 13:39	---------	d-----w	C:\Programme\Java
2008-04-30 13:37	---------	d-----w	C:\Programme\Gemeinsame Dateien\Java
2008-04-30 13:26	---------	d-----w	C:\Programme\FileZilla
2008-04-28 09:25	---------	d-----w	C:\Programme\Windows Live
2008-04-28 09:20	---------	dcsh--w	C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-04-28 09:12	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-04-27 21:14	499,712	----a-w	C:\WINDOWS\system32\msvcp71.dll
2008-04-27 21:14	348,160	----a-w	C:\WINDOWS\system32\msvcr71.dll
2008-04-27 21:14	---------	d-----w	C:\Programme\Real
2008-04-27 21:14	---------	d-----w	C:\Programme\Gemeinsame Dateien\xing shared
2008-04-27 21:14	---------	d-----w	C:\Programme\Gemeinsame Dateien\Real
2008-04-27 21:08	---------	d-----w	C:\Programme\MSBuild
2008-04-27 20:07	---------	d-----w	C:\Programme\ICQ6
2008-04-27 20:07	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ICQ
2008-04-27 19:50	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-04-27 19:36	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird
2008-04-27 19:36	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Talkback
2008-04-27 19:33	---------	d-----w	C:\Programme\FinePixViewer
2008-04-27 19:22	---------	d-----w	C:\Programme\PIXELA
2008-04-27 19:20	---------	d-----w	C:\Programme\REGSHAVE
2008-04-27 19:20	---------	d-----w	C:\Programme\Gemeinsame Dateien\InstallShield
2008-04-27 18:25	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\FUJIFILM
2008-04-27 18:22	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo!
2008-04-27 18:20	---------	d-----w	C:\Programme\OO Software
2008-04-27 18:17	---------	d-----w	C:\Programme\QuickTime
2008-04-27 18:16	28,672	----a-w	C:\WINDOWS\system32\qttask.exe
2008-04-27 18:16	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QuickTime
2008-04-27 18:08	---------	d-----w	C:\Programme\Yahoo!
2008-04-27 18:08	---------	d-----w	C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\MSNInstaller
2008-04-27 17:50	---------	d-----w	C:\Programme\Kaspersky Lab
2008-04-27 17:50	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-04-27 17:42	---------	d-----w	C:\Programme\BroadCom GB LAN
2008-04-27 17:41	---------	d-----w	C:\Programme\Realtek
2008-04-27 17:39	---------	d-----w	C:\Programme\Intel
2008-04-27 17:34	---------	d-----w	C:\Programme\microsoft frontpage
2008-04-27 17:33	---------	d-----w	C:\Programme\Online-Dienste
2008-04-27 17:32	---------	d-----w	C:\Programme\Gemeinsame Dateien\Dienste
2008-04-23 04:16	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2008-03-25 04:51	621,344	----a-w	C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51	187,168	----a-w	C:\WINDOWS\system32\msjint40.dll
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 17:43 4670704]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"LightScribe Control Panel"="C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-08-23 17:36 455968]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 17:07 1828136]
"AdobeUpdater"="C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 10:37 2321600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 09:49 15691264 C:\WINDOWS\RTHDCPL.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-05-17 09:05 7561216]
"nwiz"="nwiz.exe" [2006-05-17 09:05 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-05-17 09:05 86016]
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 22:32 53248]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-27 23:14 185896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"WorksFUD"="C:\Programme\Microsoft Works\wkfud.exe" [2000-07-12 21:15 24576]
"Microsoft Works Portfolio"="C:\Programme\Microsoft Works\WksSb.exe" [2000-07-12 22:30 311350]
"Microsoft Works Update Detection"="C:\Programme\Microsoft Works\WkDetect.exe" [2000-07-22 00:55 28739]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-02-28 09:59 570664]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 16:29 2221352]
"PDFPrint"="C:\Programme\pdf24\PDFBackend.exe" [2008-01-31 08:17 134144]
"TrayServer"="C:\Programme\MAGIX\Video_deluxe_2008_PLUS_e-version\TrayServer.exe" [2007-03-29 11:05 90112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\Dokumente und Einstellungen\xxx\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54 98632]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Erinnerungen in Microsoft Works-Kalender.lnk - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe [2000-07-12 22:30:38 24633]
Exif Launcher.lnk - C:\Programme\FinePixViewer\QuickDCF.exe [2008-04-27 21:21:19 200704]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]
Microtek Scanner Finder.lnk - C:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe [2008-05-28 18:07:05 339968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.321\\German\\setup.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18]

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-06-22 13:35:08
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-22 13:36:01
ComboFix-quarantined-files.txt  2008-06-22 11:35:59

              10 Verzeichnis(se), 137,838,616,576 Bytes frei
              14 Verzeichnis(se), 137,867,317,248 Bytes frei

223	--- E O F ---	2008-06-20 05:43:22

Würde mich freuen wenn mir jemand sagen könnte was ich von dem Ergebnis halten kann? Und was evtl. zu tun ist?

Vielen Dank für Eure Geduld!

undoreal · 22.06.2008, 13:03

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\system32\codef.dll
C:\WINDOWS\OverlayXP.ini
C:\WINDOWS\system32\DLLDEV32i.dll
C:\WINDOWS\system32\pgdfgsvc.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Danach führe dieses Tool im abgesicherten Modus aus.

Poste bitte das VBG log und die VT Berichte.

Member · 22.06.2008, 13:15

Habe jetzt das Anzeigen von versteckten Dateien aktiviert.
Muss ich dann nochmal combofix ausführen, oder war das Anzeigen der versteckten Dateien schon eine Maßnahme für die nächsten Schritte?

undoreal · 22.06.2008, 13:33

Zitat:

Muss ich dann nochmal combofix ausführen

nein. Einfach weiter im Text..

Member · 22.06.2008, 13:36

OK, Danke!

Dann mal an die Arbeit...

Ergebnis aus VirusTotal

1.

Code:

ATTFilter

 Datei codef.dll empfangen 2008.06.22 14:16:28 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 6/33 (18.19%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.6.22.0	2008.06.22	-
AntiVir	7.8.0.59	2008.06.21	-
Authentium	5.1.0.4	2008.06.21	-
Avast	4.8.1195.0	2008.06.21	Win32:Vapsup-EB
AVG	7.5.0.516	2008.06.22	-
BitDefender	7.2	2008.06.22	-
CAT-QuickHeal	9.50	2008.06.20	-
ClamAV	0.93.1	2008.06.22	-
DrWeb	4.44.0.09170	2008.06.22	Trojan.Click.19256
eSafe	7.0.15.0	2008.06.19	-
eTrust-Vet	31.6.5892	2008.06.21	-
Ewido	4.0	2008.06.22	-
F-Prot	4.4.4.56	2008.06.21	-
F-Secure	7.60.13501.0	2008.06.20	-
Fortinet	3.14.0.0	2008.06.22	-
GData	2.0.7306.1023	2008.06.22	Win32:Vapsup-EB
Ikarus	T3.1.1.26.0	2008.06.22	Virus.Win32.Vapsup.EB
Kaspersky	7.0.0.125	2008.06.22	-
McAfee	5322	2008.06.20	-
Microsoft	1.3604	2008.06.22	-
NOD32v2	3207	2008.06.22	-
Norman	5.80.02	2008.06.20	-
Panda	9.0.0.4	2008.06.22	-
Prevx1	V2	2008.06.22	Suspicious
Rising	20.49.62.00	2008.06.22	-
Sophos	4.30.0	2008.06.22	-
Sunbelt	3.0.1153.1	2008.06.15	-
Symantec	10	2008.06.22	-
TheHacker	6.2.92.358	2008.06.21	-
TrendMicro	8.700.0.1004	2008.06.20	PAK_Generic.001
VBA32	3.12.6.7	2008.06.21	-
VirusBuster	4.3.26:9	2008.06.12	-
Webwasher-Gateway	6.6.2	2008.06.22	-
weitere Informationen
File size: 13824 bytes
MD5...: fc8f458caff4af22dafb88e9cadb4342
SHA1..: aa6900f0d960ab5933b2c6223f92c9aadc792fcd
SHA256: e296d3050f8890a6f632307d6ce44b15f783a1c0cfa1becfd0af15b66930b363
SHA512: 2b9aaf3ec21822347a72f9ea8c0c3b604539da5c11888531dfad7cb1113b85e1
74f74edbd826f91a2a434dac8c703814859ba13e29e67cd377e96692bb90c385
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10009d40
timedatestamp.....: 0x485bdd9f (Fri Jun 20 16:41:03 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x8000 0x2000 0x2000 7.74 68c6e16d317c49793648026f9267c56a
.rsrc 0xa000 0x2000 0x1200 4.32 41397aed25e52817780c08f1951a7efb

( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> ADVAPI32.dll: RegCloseKey
> MSVCRT.dll: free
> ole32.dll: CoCreateInstance
> OLEAUT32.dll: -
> SHELL32.dll: ShellExecuteA
> USER32.dll: CharNextA

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DA2A7FBF00158500360B00E672E7C3004DE2C447
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX

2.

Code:

ATTFilter

 Datei OverlayXP.ini empfangen 2008.06.22 14:39:20 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/33 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.6.22.0	2008.06.22	-
AntiVir	7.8.0.59	2008.06.21	-
Authentium	5.1.0.4	2008.06.21	-
Avast	4.8.1195.0	2008.06.21	-
AVG	7.5.0.516	2008.06.22	-
BitDefender	7.2	2008.06.22	-
CAT-QuickHeal	9.50	2008.06.20	-
ClamAV	0.93.1	2008.06.22	-
DrWeb	4.44.0.09170	2008.06.22	-
eSafe	7.0.15.0	2008.06.19	-
eTrust-Vet	31.6.5892	2008.06.21	-
Ewido	4.0	2008.06.22	-
F-Prot	4.4.4.56	2008.06.21	-
F-Secure	7.60.13501.0	2008.06.20	-
Fortinet	3.14.0.0	2008.06.22	-
GData	2.0.7306.1023	2008.06.22	-
Ikarus	T3.1.1.26.0	2008.06.22	-
Kaspersky	7.0.0.125	2008.06.22	-
McAfee	5322	2008.06.20	-
Microsoft	1.3604	2008.06.22	-
NOD32v2	3207	2008.06.22	-
Norman	5.80.02	2008.06.20	-
Panda	9.0.0.4	2008.06.22	-
Prevx1	V2	2008.06.22	-
Rising	20.49.62.00	2008.06.22	-
Sophos	4.30.0	2008.06.22	-
Sunbelt	3.0.1153.1	2008.06.15	-
Symantec	10	2008.06.22	-
TheHacker	6.2.92.358	2008.06.21	-
TrendMicro	8.700.0.1004	2008.06.20	-
VBA32	3.12.6.7	2008.06.21	-
VirusBuster	4.3.26:9	2008.06.12	-
Webwasher-Gateway	6.6.2	2008.06.22	-
weitere Informationen
File size: 25 bytes
MD5...: 44173a2657dd31dea9574f0f4461341f
SHA1..: 788e48a9cf9da488e0bed3f189df73f53b0c5fe9
SHA256: 81a5ecc25944c4650c16eb05879c4c406f653d102ea0ae98005ad0a494847cdd
SHA512: 655f71ab2a718f66b548309ba00c9dad5e640ca251112cc7496c6233158a4b5b
daa74d2788dba0a94eb6191f394a6b597c3fb8225e10e6a9bd8838fcb407ab5b
PEiD..: -
PEInfo: -

3.

Code:

ATTFilter

 Datei DLLDEV32i.dll empfangen 2008.06.22 14:40:46 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/33 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.6.22.0	2008.06.22	-
AntiVir	7.8.0.59	2008.06.21	-
Authentium	5.1.0.4	2008.06.21	-
Avast	4.8.1195.0	2008.06.21	-
AVG	7.5.0.516	2008.06.22	-
BitDefender	7.2	2008.06.22	-
CAT-QuickHeal	9.50	2008.06.20	-
ClamAV	0.93.1	2008.06.22	-
DrWeb	4.44.0.09170	2008.06.22	-
eSafe	7.0.15.0	2008.06.19	-
eTrust-Vet	31.6.5892	2008.06.21	-
Ewido	4.0	2008.06.22	-
F-Prot	4.4.4.56	2008.06.21	-
F-Secure	7.60.13501.0	2008.06.20	-
Fortinet	3.14.0.0	2008.06.22	-
GData	2.0.7306.1023	2008.06.22	-
Ikarus	T3.1.1.26.0	2008.06.22	-
Kaspersky	7.0.0.125	2008.06.22	-
McAfee	5322	2008.06.20	-
Microsoft	1.3604	2008.06.22	-
NOD32v2	3207	2008.06.22	-
Norman	5.80.02	2008.06.20	-
Panda	9.0.0.4	2008.06.22	-
Prevx1	V2	2008.06.22	-
Rising	20.49.62.00	2008.06.22	-
Sophos	4.30.0	2008.06.22	-
Sunbelt	3.0.1153.1	2008.06.15	-
Symantec	10	2008.06.22	-
TheHacker	6.2.92.358	2008.06.21	-
TrendMicro	8.700.0.1004	2008.06.20	-
VBA32	3.12.6.7	2008.06.21	-
VirusBuster	4.3.26:9	2008.06.12	-
Webwasher-Gateway	6.6.2	2008.06.22	-
weitere Informationen
File size: 120200 bytes
MD5...: cb7fe392f4cd02b86af86aca17d00e4f
SHA1..: 17523cd79bd06d94942f0cbe5133eec1b68be67f
SHA256: fadf4d5c8164470bddd8fb61f636b5dfd6380a1407429811fb57bf193f498a5a
SHA512: 5d29f6e5fcfcc1ca027294e97f37d7fb854e7f096f6a589033b3a0392fa6a172
aa263459e74f938248832d0e30481329440edd69792483b3c6f3123f8425dcd5
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10002897
timedatestamp.....: 0x4631c5dd (Fri Apr 27 09:43:57 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xfe02 0x10000 6.66 3a91b79bbaa0be2a8b5ab0d618bca2d2
.rdata 0x11000 0x3e15 0x4000 5.03 a826d3a7cade343f8612d1b1f78a41d3
.data 0x15000 0x6ec0 0x4000 1.85 fdcd8c13a39c01d6574a3c1cdecd9258
.rsrc 0x1c000 0x338 0x1000 0.85 7f6787b410c14f704e3c949859ee8aab
.reloc 0x1d000 0x2b64 0x3000 3.62 dd939d3a3000d8cbbcc203a1d2d58f15

( 5 imports )
> KERNEL32.dll: RtlUnwind, GetCommandLineA, HeapAlloc, HeapFree, RaiseException, HeapSize, HeapReAlloc, ExitProcess, TerminateProcess, GetACP, SetHandleCount, GetStdHandle, GetFileType, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadCodePtr, SetStdHandle, FlushFileBuffers, WriteFile, GetCurrentProcess, GetOEMCP, GetCPInfo, GlobalFlags, lstrcmpA, GetProcessVersion, LoadLibraryA, FreeLibrary, lstrcatA, GlobalGetAtomNameA, lstrcmpiA, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, lstrcpyA, GetModuleHandleA, GetProcAddress, SetFilePointer, GetCurrentThreadId, GetVersion, TlsGetValue, LocalReAlloc, TlsSetValue, GlobalAlloc, GlobalReAlloc, GlobalLock, TlsFree, GlobalHandle, GlobalUnlock, GlobalFree, TlsAlloc, LocalAlloc, GetModuleFileNameA, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, InitializeCriticalSection, lstrcpynA, GetLastError, SetLastError, LocalFree, MultiByteToWideChar, WideCharToMultiByte, lstrlenA, InterlockedDecrement, InterlockedIncrement, CloseHandle, GetStartupInfoA
> USER32.dll: GetClientRect, AdjustWindowRectEx, SetFocus, GetSysColor, MapWindowPoints, PostMessageA, LoadIconA, SetWindowTextA, LoadCursorA, GetSysColorBrush, ReleaseDC, GetDC, GetClassNameA, PtInRect, ClientToScreen, PostQuitMessage, DestroyMenu, TabbedTextOutA, DrawTextA, GrayStringA, GetTopWindow, CopyRect, GetCapture, WinHelpA, GetClassInfoA, RegisterClassA, GetMenu, GetMenuItemCount, GetSubMenu, GetMenuItemID, GetDlgItem, GetWindowTextA, GetDlgCtrlID, DestroyWindow, CreateWindowExA, GetClassLongA, SetPropA, GetPropA, CallWindowProcA, RemovePropA, DefWindowProcA, GetMessageTime, GetMessagePos, GetForegroundWindow, SetForegroundWindow, GetWindow, SetWindowLongA, SetWindowPos, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetWindowRect, GetSystemMetrics, GetMenuCheckMarkDimensions, LoadBitmapA, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, EnableMenuItem, GetFocus, GetNextDlgTabItem, DispatchMessageA, GetKeyState, CallNextHookEx, PeekMessageA, SetWindowsHookExA, UnhookWindowsHookEx, LoadStringA, GetParent, GetLastActivePopup, IsWindowEnabled, GetWindowLongA, SendMessageA, MessageBoxA, EnableWindow, RegisterWindowMessageA
> GDI32.dll: RestoreDC, SelectObject, GetStockObject, SetMapMode, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, SaveDC, PtVisible, RectVisible, TextOutA, ExtTextOutA, Escape, DeleteDC, DeleteObject, GetDeviceCaps, GetObjectA, SetBkColor, SetTextColor, GetClipBox, CreateBitmap
> WINSPOOL.DRV: DocumentPropertiesA, ClosePrinter, OpenPrinterA
> COMCTL32.dll: -

( 38 exports )
__0CImageImportBase@@QAE@ABV0@@Z, __0CImageImportBase@@QAE@XZ, __0IImageConversionInterface@@QAE@ABV0@@Z, __0IImageConversionInterface@@QAE@XZ, __0IImageExportInterface@@QAE@ABV0@@Z, __0IImageExportInterface@@QAE@XZ, __0IImageExportOptions@@QAE@ABV0@@Z, __0IImageExportOptions@@QAE@XZ, __0IImageImportInterface@@QAE@ABV0@@Z, __0IImageImportInterface@@QAE@XZ, __1CImageImportBase@@UAE@XZ, __1IImageConversionInterface@@UAE@XZ, __1IImageExportInterface@@UAE@XZ, __1IImageExportOptions@@UAE@XZ, __1IImageImportInterface@@UAE@XZ, __4CImageImportBase@@QAEAAV0@ABV0@@Z, __4IImageConversionInterface@@QAEAAV0@ABV0@@Z, __4IImageExportInterface@@QAEAAV0@ABV0@@Z, __4IImageExportOptions@@QAEAAV0@ABV0@@Z, __4IImageImportInterface@@QAEAAV0@ABV0@@Z, ___7CImageImportBase@@6B@, ___7IImageConversionInterface@@6B@, ___7IImageExportInterface@@6B@, ___7IImageExportOptions@@6B@, ___7IImageImportInterface@@6B@, _AllocMem@CImageImportBase@@UAEPAXHH@Z, _CanLoad@CImageImportBase@@UAE_AW4ImageInterfaceReturn@@PBD@Z, _FillDefaultLoadParam@CImageImportBase@@UAEXAAULoadImageParameter@@@Z, _FreeMem@CImageImportBase@@UAEXPAXHH@Z, _GetSpecificData@IImageExportOptions@@UAE_AW4ImageInterfaceReturn@@PBDPAPAX@Z, _InitDev6464@@YAHK@Z, _LoadImageA@CImageImportBase@@UAE_AW4ImageInterfaceReturn@@PAEHPAULoadImageParameter@@@Z, _LoadImageAlloc@CImageImportBase@@UAE_AW4ImageInterfaceReturn@@PAPAEPAHPAULoadImageParameter@@@Z, _LoadImageAlloc@CImageImportBase@@UAE_AW4ImageInterfaceReturn@@PAPAUtagBITMAPINFOHEADER@@PAPAEPAHPAULoadImageParameter@@@Z, _Release@CImageImportBase@@UAEXXZ, _ijlFree@4, _ijlInit@4, _ijlRead@8

4.

Code:

ATTFilter

 Datei pgdfgsvc.exe empfangen 2008.06.22 14:42:50 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/33 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.6.22.0	2008.06.22	-
AntiVir	7.8.0.59	2008.06.21	-
Authentium	5.1.0.4	2008.06.21	-
Avast	4.8.1195.0	2008.06.21	-
AVG	7.5.0.516	2008.06.22	-
BitDefender	7.2	2008.06.22	-
CAT-QuickHeal	9.50	2008.06.20	-
ClamAV	0.93.1	2008.06.22	-
DrWeb	4.44.0.09170	2008.06.22	-
eSafe	7.0.15.0	2008.06.19	-
eTrust-Vet	31.6.5892	2008.06.21	-
Ewido	4.0	2008.06.22	-
F-Prot	4.4.4.56	2008.06.21	-
F-Secure	7.60.13501.0	2008.06.20	-
Fortinet	3.14.0.0	2008.06.22	-
GData	2.0.7306.1023	2008.06.22	-
Ikarus	T3.1.1.26.0	2008.06.22	-
Kaspersky	7.0.0.125	2008.06.22	-
McAfee	5322	2008.06.20	-
Microsoft	1.3604	2008.06.22	-
NOD32v2	3207	2008.06.22	-
Norman	5.80.02	2008.06.20	-
Panda	9.0.0.4	2008.06.22	-
Prevx1	V2	2008.06.22	-
Rising	20.49.62.00	2008.06.22	-
Sophos	4.30.0	2008.06.22	-
Sunbelt	3.0.1153.1	2008.06.15	-
Symantec	10	2008.06.22	-
TheHacker	6.2.92.358	2008.06.21	-
TrendMicro	8.700.0.1004	2008.06.20	-
VBA32	3.12.6.7	2008.06.21	-
VirusBuster	4.3.26:9	2008.06.12	-
Webwasher-Gateway	6.6.2	2008.06.22	-
weitere Informationen
File size: 25992 bytes
MD5...: 8cf7c3ae5f358e75eb273af06e8f78ca
SHA1..: 14494f20f373167e9c946297ac420497a9b38c68
SHA256: 52bec0690228c0038e7d1022795e7988c39abffb7db7075d27892a2f6120754d
SHA512: 6448e6c2e512431884800fc24dd5237fa080cde0a70fcbb6c2022ec72811695f
bacd5f79bb5d000088c941e0a1bdd5a347beb443cae6051c4055c92401e904fc
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1408c
timedatestamp.....: 0x42d64736 (Thu Jul 14 11:06:30 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3bc6 0x3c00 5.91 5a329622d4653190253ad0b8351f0eda
.data 0x5000 0x32100 0x200 0.28 5ec77bdad94357b4899f6d3030eec154
.rsrc 0x38000 0x3a0 0x400 3.03 d503eb758a5590cb3160d9b8ce1bc55e
.reloc 0x39000 0x46e 0x600 3.28 22ceedfd8eb3fd4fcb2c8e6f178944e7

( 1 imports )
> ntdll.dll: _aulldiv, _aullrem, wcscpy, wcslen, NtDisplayString, _chkstk, swprintf, NtSetValueKey, RtlInitUnicodeString, NtQueryValueKey, NtOpenKey, ZwCreateFile, NtFlushBuffersFile, NtWaitForSingleObject, NtFsControlFile, _allmul, RtlAllocateHeap, RtlFreeHeap, _aullshr, NtClose, ZwClose, NtTerminateProcess, NtWaitForMultipleObjects, ZwReadFile, NtDeleteFile, wcsncpy, NtQueryDirectoryFile, _wcsnicmp, wcsstr, RtlCreateHeap

( 0 exports )

mfg
member

Member · 22.06.2008, 14:05

Hier noch der VBG Log

Code:

ATTFilter

[06/22/2008, 14:57:34] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\xxx\Desktop\VirtumundoBeGone.exe" )
[06/22/2008, 14:57:38] - Detected System Information:
[06/22/2008, 14:57:38] -  Windows Version: 5.1.2600, Service Pack 2
[06/22/2008, 14:57:38] -  Current Username: xxx (Admin)
[06/22/2008, 14:57:38] -  Windows is in SAFE mode with Networking.
[06/22/2008, 14:57:38] - Searching for Browser Helper Objects:
[06/22/2008, 14:57:38] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Adobe PDF Reader)
[06/22/2008, 14:57:38] -  BHO 2: {72853161-30C5-4D22-B7F9-0BBC1D38A37E} (Groove GFS Browser Helper)
[06/22/2008, 14:57:38] -  BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/22/2008, 14:57:38] - Finished Searching Browser Helper Objects
[06/22/2008, 14:57:38] - Finishing up...
[06/22/2008, 14:57:38] - Nothing found! Exiting...

Berichte aus VT stehen in meinem vorherigen post.

Gruß
member

Member · 22.06.2008, 14:26

Bin mir nicht sicher ob ich mich jetzt freuen kann.

Die System-Error Meldung tritt jetzt nicht mehr auf.
Heißt das, dass mein System jetzt wieder sicher ist, oder besteht die Gefahr immernoch ohne dass ich es jetzt merke?

Jedenfalls erstmal ein dickes Dankeschön an alle Helfer, dass ich jetzt auf jeden Fall wieder weiterarbeiten kann!!!

Also wenn noch jemand eine Ergänzug oder Einen weiteren Tip hat, würde ich mich freuen Ihn zu hören.

Schöne Grüße
Member

undoreal · 22.06.2008, 14:46

Cureit Dr.Web

Downloade Dr.Web CureIt!
Speichere es auf deinem Desktop.
Entpacke es in einen eigenen Ordner.
Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.

Brauche dringend Hilfe bei "Trojan.Win32.Monder.gen"

Log-Analyse und Auswertung: Brauche dringend Hilfe bei "Trojan.Win32.Monder.gen"