IEXPLOR.exe und mehr ???

Wakkka · 13.08.2008, 08:32

an die ckvo.exe komm ich nicht ran sie liegt auf dem rechner wo ja kein i-net mehr geht und sie lässt sich nicht copieren ... verlangt ein passwort.

habe sie mit malware schon mal löschen lassen aber ist wieder da ...

Wakkka · 13.08.2008, 08:35

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1012
Windows 5.1.2600 Service Pack 2

09:20:03 13.08.2008
mbam-log-8-13-2008 (09-20-03).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 84969
Laufzeit: 11 minute(s), 4 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kamsoft (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ckvo.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\logo1_.exe (Worm.Viking) -> Delete on reboot.
C:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> Delete on reboot.

Wakkka · 13.08.2008, 09:23

Code:

ATTFilter

ComboFix 08-08-12.01 - Igor 2008-08-13 10:07:01.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.2720 [GMT 2:00]
ausgeführt von:: J:\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\Dokumente und Einstellungen\Igor\Anwendungsdaten\inst.exe
C:\tyktjfww.exe
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\ckvo0.dll
C:\WINDOWS\system32\ckvo1.dll
C:\WINDOWS\system32\taskmgr.com
D:\Autorun.inf
E:\Autorun.inf
H:\autorun.inf
H:\kn6jhgc.cmd
J:\autorun.inf
J:\tyktjfww.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-07-13 bis 2008-08-13  ))))))))))))))))))))))))))))))
.

2008-08-13 10:02 . 2008-08-13 10:02	<DIR>	d--------	C:\Programme\CCleaner
2008-08-13 08:58 . 2008-08-13 08:58	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-13 08:58 . 2008-08-13 08:58	<DIR>	d--------	C:\Dokumente und Einstellungen\Igor\Anwendungsdaten\Malwarebytes
2008-08-13 08:58 . 2008-08-13 08:58	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-13 08:58 . 2008-07-30 20:07	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-13 08:58 . 2008-07-30 20:07	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-08-13 08:50 . 2008-08-13 08:50	89,917	-r-hs----	C:\b3b9u.com
2008-08-12 16:18 . 2008-08-12 16:18	<DIR>	d--------	C:\Programme\MSXML 6.0
2008-08-12 16:16 . 2008-08-12 16:16	<DIR>	d--------	C:\Programme\MSXML 4.0
2008-08-12 16:04 . 2008-08-12 16:04	0	--a------	C:\23990098.$$$
2008-08-12 15:45 . 2008-08-12 15:45	<DIR>	d-a------	C:\WINDOWS\zts2.exe
2008-08-12 15:45 . 2008-08-12 15:45	<DIR>	d-a------	C:\WINDOWS\system32\iifgfgf.dll
2008-08-12 15:45 . 2008-08-12 15:45	<DIR>	d-a------	C:\WINDOWS\rundl132.dll
2008-08-12 15:41 . 2008-08-12 15:41	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
2008-08-12 15:41 . 2008-08-12 12:45	157,184	--a------	C:\WINDOWS\R.COM
2008-08-12 15:41 . 2008-08-12 12:47	144,896	--a------	C:\WINDOWS\system32\T.COM
2008-08-12 15:41 . 2008-08-12 15:41	27	--a------	C:\WINDOWS\Lic.xxx
2008-08-12 14:01 . 2008-08-12 14:01	<DIR>	d--------	C:\Programme\Trend Micro
2008-08-12 12:23 . 2008-08-12 12:23	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-08-12 12:21 . 2008-08-12 12:22	<DIR>	d--------	C:\Programme\CyberLink
2008-08-12 12:15 . 2008-08-12 12:15	<DIR>	d--------	C:\WINDOWS\system32\WTablet
2008-08-12 12:15 . 2008-08-12 12:15	<DIR>	d--------	C:\Programme\Tablet
2008-08-12 12:15 . 2008-08-13 10:00	<DIR>	d--------	C:\Dokumente und Einstellungen\Igor\Anwendungsdaten\WTablet
2008-08-12 12:15 . 2006-12-05 22:28	3,307,056	---------	C:\WINDOWS\system32\WacomTablet.cpl
2008-08-12 12:15 . 2006-11-10 20:18	1,726,244	---------	C:\WINDOWS\system32\WacomTablet.znc
2008-08-12 12:15 . 2006-12-05 22:38	1,013,296	---------	C:\WINDOWS\system32\Tablet.exe
2008-08-12 12:15 . 2006-12-05 22:17	140,848	---------	C:\WINDOWS\system32\Wintab32.dll
2008-08-12 12:15 . 2006-11-15 21:55	6,272	--a------	C:\WINDOWS\system32\drivers\wacomvhid.sys
2008-08-12 12:15 . 2006-02-14 23:18	5,632	--a------	C:\WINDOWS\system32\drivers\wacommousefilter.sys
2008-08-12 12:13 . 2008-08-12 12:13	<DIR>	d--------	C:\Dokumente und Einstellungen\Igor\Anwendungsdaten\Apple Computer
2008-08-12 12:12 . 2008-08-12 12:12	<DIR>	d--------	C:\Programme\QuickTime
2008-08-12 12:12 . 2008-08-12 12:12	<DIR>	d--------	C:\Programme\Apple Software Update
2008-08-12 12:12 . 2008-08-12 12:12	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-08-12 12:12 . 2008-08-12 12:12	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-12 10:29 . 2008-08-12 10:29	<DIR>	d--------	C:\WINDOWS\SHELLNEW
2008-08-12 10:29 . 2003-06-18 17:31	17,920	--a------	C:\WINDOWS\system32\mdimon.dll
2008-08-12 10:29 . 2008-08-12 10:29	400	--a------	C:\WINDOWS\ODBC.INI
2008-08-12 10:27 . 2008-08-12 10:27	<DIR>	dr-h-----	C:\MSOCache
2008-08-12 09:29 . 2008-08-12 09:29	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-08-12 09:29 . 2008-08-12 09:29	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-08-12 09:06 . 2008-06-14 19:57	273,024	---------	C:\WINDOWS\system32\drivers\bthport.sys
2008-08-12 09:06 . 2008-06-14 19:57	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-08-12 08:59 . 2008-08-12 12:30	90,258	-r-hs----	C:\bpu.exe
2008-08-12 08:58 . 2008-08-13 08:59	<DIR>	d--h-----	C:\WINDOWS\$hf_mig$
2008-08-12 08:58 . 2008-08-12 12:47	19,968	--a------	C:\WINDOWS\system32\spupdsvc.exe
2008-08-11 16:27 . 2008-08-11 16:29	116	--a------	C:\WINDOWS\NeroDigital.ini
2008-08-11 15:48 . 2008-08-11 15:48	<DIR>	d--------	C:\Dokumente und Einstellungen\Igor\Anwendungsdaten\Ahead
2008-08-11 15:44 . 2008-08-11 15:44	<DIR>	d--------	C:\Programme\Nero
2008-08-11 15:44 . 2008-08-12 09:29	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Ahead
2008-08-11 14:29 . 2008-08-11 14:56	<DIR>	d--------	C:\Dokumente und Einstellungen\Igor\Anwendungsdaten\ameCache
2008-08-11 09:49 . 2004-08-03 23:08	26,496	--a--c---	C:\WINDOWS\system32\dllcache\usbstor.sys
2008-08-10 13:48 . 2008-08-10 13:48	<DIR>	d--------	C:\Programme\xp-AntiSpy
2008-08-10 13:44 . 2008-08-12 12:44	310,272	--a------	C:\WINDOWS\IsUninst.exe
2008-08-10 13:40 . 2001-07-04 01:08	385,024	-ra------	C:\WINDOWS\system32\rts8891u.dll
2008-08-10 13:40 . 2001-07-04 01:08	253,952	-ra------	C:\WINDOWS\system32\hpgtulbz.dll
2008-08-10 13:40 . 2001-07-04 01:08	249,856	-ra------	C:\WINDOWS\system32\hpgud32.dll
2008-08-10 13:40 . 2001-07-04 01:06	225,280	-ra------	C:\WINDOWS\system32\hpgtpusd.dll
2008-08-10 13:40 . 2001-07-27 22:48	118,784	-ra------	C:\WINDOWS\system32\hpsjvset.dll
2008-08-10 13:40 . 2001-07-04 01:08	106,496	-ra------	C:\WINDOWS\system32\hpguapi.dll
2008-08-10 13:40 . 2001-07-04 01:08	40,960	-ra------	C:\WINDOWS\system32\hpg4400.dll
2008-08-10 13:40 . 2004-08-03 22:58	15,104	--a------	C:\WINDOWS\system32\drivers\usbscan.sys
2008-08-10 13:40 . 2004-08-03 22:58	15,104	--a--c---	C:\WINDOWS\system32\dllcache\usbscan.sys
2008-08-10 13:39 . 2008-08-10 13:39	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2008-08-10 13:39 . 2008-08-10 13:39	<DIR>	d--------	C:\Dokumente und Einstellungen\Igor\Anwendungsdaten\Ordner HP Share-to-Web
2008-08-10 13:38 . 2008-08-10 13:39	<DIR>	d--------	C:\Programme\Hewlett-Packard
2008-08-10 13:36 . 2008-08-10 13:36	<DIR>	d--------	C:\temp\ext52284
2008-08-10 13:36 . 2008-08-11 15:41	<DIR>	d--------	C:\temp
2008-08-10 13:33 . 2008-08-12 16:14	14,820	--a------	C:\WINDOWS\system32\Fucker
2008-08-10 13:33 . 2008-08-10 13:33	10,240	--a------	C:\WINDOWS\system32\Fucker.exe.82153346
2008-08-10 13:32 . 2008-08-12 12:44	847,872	--a------	C:\WINDOWS\Nero-8.3.6.0_all_update.exe
2008-08-10 13:27 . 2008-08-10 13:27	<DIR>	d--------	C:\Programme\DVDFab 5
2008-08-10 13:27 . 2008-08-10 13:45	<DIR>	d--------	C:\Dokumente und Einstellungen\Igor\Anwendungsdaten\Vso
2008-08-10 13:27 . 2008-08-10 13:27	47,360	--a------	C:\WINDOWS\system32\drivers\pcouffin.sys
2008-08-10 13:27 . 2008-08-10 13:27	47,360	--a------	C:\Dokumente und Einstellungen\Igor\Anwendungsdaten\pcouffin.sys
2008-08-10 11:44 . 2008-08-10 12:41	<DIR>	d--------	C:\Programme\Symantec
2008-08-10 11:44 . 2008-08-10 12:41	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-08-10 11:44 . 2008-08-10 12:41	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-08-10 11:34 . 2008-08-10 11:34	<DIR>	d--------	C:\Programme\K-Lite Codec Pack
2008-08-10 11:33 . 2008-08-10 11:33	<DIR>	d--------	C:\Programme\MainConcept
2008-08-10 11:24 . 2008-08-10 11:24	<DIR>	d--------	C:\Programme\ATI Technologies
2008-08-10 11:22 . 2008-08-10 11:22	<DIR>	d--------	C:\Programme\Realtek Sound Manager
2008-08-10 11:22 . 2008-08-10 11:22	<DIR>	d--------	C:\Programme\AvRack
2008-08-10 11:21 . 2008-08-10 11:21	<DIR>	d--------	C:\Programme\Intel
2008-08-10 11:21 . 2004-02-26 12:40	14,225,408	--a------	C:\WINDOWS\system32\ALSNDMGR.CPL
2008-08-10 11:21 . 2008-08-12 12:47	6,590,976	--a------	C:\WINDOWS\system32\RTLCPL.EXE
2008-08-10 11:21 . 2008-08-12 12:43	212,992	--a------	C:\WINDOWS\alcupd.exe
2008-08-10 11:21 . 2004-02-09 09:18	155,648	--a------	C:\WINDOWS\system32\RTLCPAPI.dll
2008-08-10 11:21 . 2008-08-12 12:43	143,360	--a------	C:\WINDOWS\alcrmv.exe
2008-08-10 11:21 . 2002-02-05 07:54	141,016	--a------	C:\WINDOWS\system32\ALSNDMGR.WAV
2008-08-10 11:21 . 2004-02-26 10:53	65,024	--a------	C:\WINDOWS\SOUNDMAN.EXE
2008-08-10 11:21 . 2003-07-31 15:08	744	---------	C:\WINDOWS\system32\drivers\alcxinit.dat
2008-08-10 11:20 . 2008-08-10 13:39	<DIR>	d--h-----	C:\Programme\InstallShield Installation Information
2008-08-10 11:20 . 2008-08-10 11:32	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\InstallShield
2008-08-10 11:18 . 2000-03-29 08:17	5,824	--a------	C:\WINDOWS\system32\drivers\ASUSHWIO.SYS
2008-08-10 11:18 . 2008-08-10 11:18	3,753	--a------	C:\WINDOWS\Ascd_tmp.ini
2008-08-10 11:15 . 2004-08-04 01:40	57,600	--a------	C:\WINDOWS\system32\drivers\redbook.sys
2008-08-10 11:15 . 2001-08-17 14:59	3,072	--a------	C:\WINDOWS\system32\drivers\audstub.sys
2008-08-10 11:13 . 2008-08-10 11:13	<DIR>	d--------	C:\WINDOWS\system32\LogFiles
2008-08-10 11:13 . 2008-08-12 16:18	<DIR>	d--hs----	C:\WINDOWS\Installer
2008-08-10 11:13 . 2008-08-10 10:42	723,744	--a------	C:\WINDOWS\system32\PerfStringBackup.INI
2008-08-10 11:12 . 2008-08-10 10:31	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-08-10 11:12 . 2008-08-10 11:12	<DIR>	dr-------	C:\Dokumente und Einstellungen\Default User\Startmenü
2008-08-10 11:12 . 2008-08-10 11:12	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-08-10 11:12 . 2008-08-10 11:12	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-08-10 11:12 . 2008-08-10 11:12	<DIR>	d--------	C:\Dokumente und Einstellungen\Default User\Favoriten
2008-08-10 11:12 . 2008-08-10 11:12	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-08-10 11:12 . 2008-08-10 11:12	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-08-10 11:12 . 2008-08-10 11:12	<DIR>	d--h-----	C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-08-10 11:12 . 2008-08-10 10:52	<DIR>	dr-------	C:\Dokumente und Einstellungen\All Users\Startmenü
2008-08-10 11:12 . 2008-08-10 11:12	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Favoriten
2008-08-10 11:12 . 2008-08-12 12:04	<DIR>	dr-------	C:\Dokumente und Einstellungen\All Users\Dokumente
2008-08-10 11:12 . 2008-08-13 08:58	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-08-10 11:11 . 2008-08-10 10:45	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Default User
2008-08-10 11:11 . 2008-08-10 10:34	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users
2008-08-10 11:11 . 2008-08-10 10:45	<DIR>	d--------	C:\Dokumente und Einstellungen

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-12 11:48	424,960	----a-w	C:\WINDOWS\system32\ntvdm.exe
2008-08-12 10:46	91,648	----a-w	C:\WINDOWS\system32\netsh.exe
2008-08-12 10:45	9,728	----a-w	C:\WINDOWS\system32\cisvc.exe
2008-08-12 10:44	772,096	----a-w	C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe
2008-08-12 10:44	747,520	----a-w	C:\WINDOWS\pchealth\helpctr\binaries\HelpSvc.exe
2008-08-12 10:44	73,728	----a-w	C:\WINDOWS\NOTEPAD.EXE
2008-08-12 10:44	41,472	----a-w	C:\WINDOWS\pchealth\helpctr\binaries\notiflag.exe
2008-08-12 10:44	380,928	----a-w	C:\WINDOWS\Help\Tours\mmTour\tour.exe
2008-08-12 10:44	22,528	----a-w	C:\WINDOWS\pchealth\helpctr\binaries\HscUpd.exe
2008-08-12 10:44	164,352	----a-w	C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe
2008-08-12 10:44	14,336	----a-w	C:\WINDOWS\hh.exe
2008-08-12 10:44	103,424	----a-w	C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.exe
2008-08-12 10:21	505,392	----a-w	C:\WINDOWS\system32\msvcp71.dll
2008-08-10 11:26	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-08-10 11:00	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-08-10 10:25	---------	d-----w	C:\Programme\Bonjour
2008-08-10 10:19	---------	d-----w	C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-08-10 10:04	---------	d-----w	C:\Programme\Canon
2008-08-10 08:36	---------	d-----w	C:\Programme\microsoft frontpage
2008-08-10 08:34	---------	d-----w	C:\Programme\Online-Dienste
2008-08-10 08:33	---------	d-----w	C:\Programme\Gemeinsame Dateien\Dienste
2008-06-20 17:39	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45	360,320	----a-w	C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44	138,368	----a-w	C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52	225,920	----a-w	C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-12 18:36	7,680	----a-w	C:\WINDOWS\system32\ff_vfw.dll
2008-05-30 23:22	683,520	----a-w	C:\WINDOWS\system32\divx.dll
2008-05-22 22:22	3,596,288	----a-w	C:\WINDOWS\system32\qt-dx331.dll
2008-05-22 22:19	81,920	----a-w	C:\WINDOWS\system32\dpl100.dll
.

------- Sigcheck -------

2008-08-12 12:46  2021376  357d7db1f10c54e109362d779141b5c2	C:\WINDOWS\system32\ntkrnlpa.exe
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 01:11 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-08-12 12:25 32768]
"Share-to-Web Namespace Daemon"="C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2001-07-03 09:11 57344]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2008-08-12 12:41 151552]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-08-12 12:43 417792]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 21:01 71216]
"LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2008-08-12 12:35 53248]
"SoundMan"="SOUNDMAN.EXE" [2004-02-26 10:53 65024 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"=

R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};C:\Programme\CyberLink\PowerDVD\000.fcl [2006-11-02 16:51]
R3 wacommousefilter;Wacom Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\wacommousefilter.sys [2006-02-14 23:18]
R3 wacomvhid;Wacom Virtual Hid Driver;C:\WINDOWS\system32\DRIVERS\wacomvhid.sys [2006-11-15 21:55]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - I:\tyktjfww.exe
\Shell\explore\Command - I:\tyktjfww.exe
\Shell\open\Command - I:\tyktjfww.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\tyktjfww.exe
\Shell\explore\Command - J:\tyktjfww.exe
\Shell\open\Command - J:\tyktjfww.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]
\Shell\AutoRun\command - K:\tyktjfww.exe
\Shell\explore\Command - K:\tyktjfww.exe
\Shell\open\Command - K:\tyktjfww.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\L]
\Shell\AutoRun\command - L:\tyktjfww.exe
\Shell\explore\Command - L:\tyktjfww.exe
\Shell\open\Command - L:\tyktjfww.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\M]
\Shell\AutoRun\command - M:\tyktjfww.exe
\Shell\explore\Command - M:\tyktjfww.exe
\Shell\open\Command - M:\tyktjfww.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\N]
\Shell\AutoRun\command - N:\tyktjfww.exe
\Shell\explore\Command - N:\tyktjfww.exe
\Shell\open\Command - N:\tyktjfww.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\O]
\Shell\AutoRun\command - O:\tyktjfww.exe
\Shell\explore\Command - O:\tyktjfww.exe
\Shell\open\Command - O:\tyktjfww.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{058eee04-683c-11dd-842c-001e2a3dbccb}]
\Shell\AutoRun\command - I:\bpu.exe
\Shell\explore\Command - I:\
\Shell\open\Command - I:\

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b77ffd0-6793-11dd-8429-001e2a3dbccb}]
\Shell\AutoRun\command - H:\tyktjfww.exe
\Shell\explore\Command - H:\tyktjfww.exe
\Shell\open\Command - H:\tyktjfww.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1a31f3ad-67ac-11dd-842b-001e2a3dbccb}]
\Shell\AutoRun\command - I:\tyktjfww.exe
\Shell\explore\Command - I:\tyktjfww.exe
\Shell\open\Command - I:\tyktjfww.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f95ef8bc-6779-11dd-8426-001e2a3dbccb}]
\Shell\AutoRun\command - I:\tyktjfww.exe
\Shell\explore\Command - I:\tyktjfww.exe
\Shell\open\Command - I:\tyktjfww.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f95ef8bd-6779-11dd-8426-001e2a3dbccb}]
\Shell\AutoRun\command - J:\tyktjfww.exe
\Shell\explore\Command - J:\tyktjfww.exe
\Shell\open\Command - J:\tyktjfww.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f95ef8be-6779-11dd-8426-001e2a3dbccb}]
\Shell\AutoRun\command - K:\tyktjfww.exe
\Shell\explore\Command - K:\tyktjfww.exe
\Shell\open\Command - K:\tyktjfww.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f95ef8bf-6779-11dd-8426-001e2a3dbccb}]
\Shell\AutoRun\command - L:\tyktjfww.exe
\Shell\explore\Command - L:\tyktjfww.exe
\Shell\open\Command - L:\tyktjfww.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f95ef8c0-6779-11dd-8426-001e2a3dbccb}]
\Shell\AutoRun\command - M:\tyktjfww.exe
\Shell\explore\Command - M:\tyktjfww.exe
\Shell\open\Command - M:\tyktjfww.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f95ef8c1-6779-11dd-8426-001e2a3dbccb}]
\Shell\AutoRun\command - N:\tyktjfww.exe
\Shell\explore\Command - N:\tyktjfww.exe
\Shell\open\Command - N:\tyktjfww.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f95ef8c2-6779-11dd-8426-001e2a3dbccb}]
\Shell\AutoRun\command - O:\tyktjfww.exe
\Shell\explore\Command - O:\tyktjfww.exe
\Shell\open\Command - O:\tyktjfww.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A6201DD6-74BA-17A7-711C-96D99D5D3B06}]
C:\WINDOWS\system32\Fucker.exe
.
Inhalt des "geplante Tasks" Ordners

2008-08-12 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-08-12 12:25]
.
.
------- Zusätzlicher Scan -------
.
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-13 10:07:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl"
.
Zeit der Fertigstellung: 2008-08-13 10:08:35
ComboFix-quarantined-files.txt  2008-08-13 08:08:12

Pre-Run: 6 Verzeichnis(se), 34,268,196,864 Bytes frei
Post-Run: 11 Verzeichnis(se), 35,333,988,352 Bytes frei

303	--- E O F ---	2008-08-12 14:18:31

Wakkka · 13.08.2008, 09:27

ja ich wollt die datei copieren und da stand : die datei ist durch ein kennwort geschützt.Geben sie das kennwort ein .....

mehr steht da nicht ...

Wakkka · 13.08.2008, 09:30

liegt whrscheinlich daran das maleware es in quarantäne gesteckt hat und sie in einem zip liegt ... war ich wohl zu voreilig ...

cosinus · 13.08.2008, 10:46

Du kannst das Bereinigen sein lassen!

Code:

ATTFilter

Datei Fucker.exe.82153346 empfangen 2008.08.13 09:11:01 (CET)
Status: Beendet
Ergebnis: 35/36 (97.23%)
...
Fortinet 3.14.0.0 2008.08.13 W32/Keylog.AY!tr.bdr
GData 2.0.7306.1023 2008.08.13 Backdoor.Win32.Poison.cpb
Ikarus T3.1.1.34.0 2008.08.13 Backdoor.Win32.PoisonIvy.ay
K7AntiVirus 7.10.412 2008.08.12 Backdoor.Win32.PoisonIvy.ay
Kaspersky 7.0.0.125 2008.08.13 Backdoor.Win32.Poison.cpb
McAfee 5359 2008.08.12 BackDoor-DKI.gen.a
Microsoft 1.3807 2008.08.13 Backdoor:Win32/Poisonivy.E
...

Bei Backdoorbefall sollte nicht mehr bereinigt, sondern neu aufgesetzt werden, da Dritte Vollzugriff auf Deinen Rechner hatten und beliebige Aktionen durchführen konnten wie z.B. Systemdateien austauschen etc. siehe auch http://de.wikipedia.org/wiki/Technische_Kompromittierung

Bevor Du neu aufsetzt, bitte ich Dich aber dieses Tool auszuführen, um zu überprüfen ob Dein MBR ebenfalls befallen ist.

Wakkka · 13.08.2008, 11:16

ja okay ... trotzdem danke für die gute hilfe ....

bis zum nächsten mal ....

kannst du vieleicht ein anti viren prog empfehlen ?

Wakkka · 13.08.2008, 11:31

danke für die hilfe .....

gibt es den ein anti virus prog zu empfehlen ?

cosinus · 13.08.2008, 09:04

Zitat:

Zitat von Wakkka

an die ckvo.exe komm ich nicht ran sie liegt auf dem rechner wo ja kein i-net mehr geht und sie lässt sich nicht copieren ... verlangt ein passwort.

habe sie mit malware schon mal löschen lassen aber ist wieder da ...

Du mußt das schon genauer beschreiben. Wer verlangt da ein Paßwort? Die Datei selber kanns ja nicht sein...

IEXPLOR.exe und mehr ???

Log-Analyse und Auswertung: IEXPLOR.exe und mehr ???