Blauer Bildschirm / TR/Dldr.FraudLoa.NC

iceONdope · 19.08.2008, 21:04

Hallo,
ich hab ein Problem wie viele andere und hoffe das mir speziell geholfen wird.
Vor kurzem habe ich einen blauen Desktop bekommen mit einer Meldung das Spyware detectet wurde. Mit Combofix konnte ich das Problem beseitigen, es taucht nur leider immer wieder auf....
Seitdem habe ich auch laufen Meldungen über Trojaner "siehe oben im Thema"
Mein Betriebssystem ist Windows XP.
Kann man folgende Webseite auf Viren und Trojanerprüfen lassen? h**p://w*w.dota-league.com/
Hab das Gefühl das immer beim Aufruf der Seite vermehrt Meldungen von Antivir kommen.
Ich habe bis jetzt noch keine Schritte durchgeführt die für andere Personen vorgeschlagen wurden, weil dort immer geschrieben wurde jeder muss selber ein Thema eröffnen...

Gruß Holger

-SilverDragon- · 19.08.2008, 21:36

Zitat:

Zitat von iceONdope

Ich habe bis jetzt noch keine Schritte durchgeführt die für andere Personen vorgeschlagen wurden, weil dort immer geschrieben wurde jeder muss selber ein Thema eröffnen...

Gruß Holger

Aber du hast Combofix auf eigene Initiative ausgeführt, und das ist nicht gut, nur wenn es dir jemand aus dem Kompetenzteam empfiehlt, solltest du es anwenden.

Guck mal unter C:\ oder C:\Combofix ob da eine Combofix.txt liegt und poste den Inhalt dieser Textdatei in diesen Thread.

Desweiteren lasse SmitfraudFix scannen und Poste den Report, geh nach der Anleitung auf der verlinkten Seite vor.
Poste danach den Report.

iceONdope · 20.08.2008, 01:00

Hier der ComboFix-Report
(ich hab keine Ahnung wie man so ein Kästchen mir Scrollbar einfügt, so das der Text hier nicht so lang wird, sry)

ComboFix 08-08-16.01 - Borsti 2008-08-19 18:52:37.1 - NTFSx86 MINIMAL
ausgeführt von:: C:\Dokumente und Einstellungen\Borsti\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\rhcrt5j0elea
C:\Programme\rhcrt5j0elea
C:\WINDOWS\system32\pphcvt5j0elea.exe
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk
C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\rhcrt5j0elea
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft\SystemCertificates\My
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\lphcvt5j0elea.exe
C:\WINDOWS\system32\phcvt5j0elea.bmp
C:\WINDOWS\system32\pphcvt5j0elea.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-19 bis 2008-08-19 ))))))))))))))))))))))))))))))
.

2008-08-19 18:46 . 2008-08-19 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-08-19 18:34 . 2008-08-19 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\ATI
2008-08-19 18:34 . 2008-08-19 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-08-19 18:34 . 2008-08-19 18:34 0 --a------ C:\WINDOWS\ativpsrm.bin
2008-08-19 18:27 . 2008-08-19 18:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ATI Technologies
2008-08-19 18:23 . 2008-08-19 18:23 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2008-08-19 18:23 . 2008-06-03 04:47 3,107,788 -ra------ C:\WINDOWS\system32\ativvaxx.dat
2008-08-19 18:23 . 2008-06-03 04:47 3,107,788 -ra------ C:\WINDOWS\system32\ativva5x.dat
2008-08-19 18:23 . 2008-06-03 04:47 887,724 -ra------ C:\WINDOWS\system32\ativva6x.dat
2008-08-19 18:23 . 2008-06-03 05:22 413,696 -ra------ C:\WINDOWS\system32\ATIDEMGX.dll
2008-08-19 18:23 . 2008-04-28 23:09 172,033 -ra------ C:\WINDOWS\system32\atiicdxx.dat
2008-08-19 18:23 . 2008-05-22 20:46 13,848 -ra------ C:\WINDOWS\atiogl.xml
2008-08-19 18:22 . 2008-08-19 18:22 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-19 18:22 . 2008-08-19 18:22 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-17 14:55 . 2008-08-17 14:56 94,208 --a------ C:\WINDOWS\system32\44.tmp
2008-08-13 14:00 . 2008-08-13 14:00 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-13 14:00 . 2008-08-13 14:00 <DIR> d-------- C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\Malwarebytes
2008-08-13 14:00 . 2008-08-13 14:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-13 14:00 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-13 14:00 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-07 16:25 . 2008-08-07 16:25 <DIR> d-------- C:\Programme\CCleaner
2008-08-07 15:33 . 2008-08-07 15:33 <DIR> d-------- C:\Programme\Sun

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-19 16:59 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-19 16:32 --------- d-----w C:\Programme\ATI Technologies
2008-08-19 16:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-19 16:21 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-17 12:19 --------- d-----w C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\teamspeak2
2008-08-11 13:02 --------- d-----w C:\Programme\Warkeys
2008-08-07 13:33 --------- d-----w C:\Programme\Java
2008-07-04 14:54 --------- d-----w C:\Programme\FLV Player
2008-07-01 17:45 --------- d-----w C:\Programme\ICQLite
2008-07-01 17:45 --------- d-----w C:\Programme\ICQ6
2008-07-01 17:45 --------- d-----w C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\ICQ
2008-07-01 15:56 --------- d-----w C:\Dokumente und Einstellungen\Borsti\Anwendungsdaten\uTorrent
2008-07-01 15:13 --------- d-----w C:\Programme\Microsoft Silverlight
2008-07-01 14:34 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-07-01 14:34 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-07-01 12:21 --------- d-----w C:\Programme\Google
2008-07-01 11:36 --------- d-----w C:\Programme\Spyware Doctor
2007-07-16 05:51 52 ----a-w C:\Dokumente und Einstellungen\Borsti\LWT.dat
2006-11-20 23:00 56 --sh--r C:\WINDOWS\system32\D982A528E3.sys
2007-10-10 13:29 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 21:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-10 14:52 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 05:04 59392]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-09-29 08:15 344064]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 12:12 266497]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-09-13 22:31 185632]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"lphcvt5j0elea"="C:\WINDOWS\system32\lphcvt5j0elea.exe" [BU]
"SMrhcrt5j0elea"="C:\Programme\rhcrt5j0elea\rhcrt5j0elea.exe" [BU]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 17:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-10 21:00 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 21:00 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 11:17 1241088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk
backup=C:\WINDOWS\pss\Bluetooth Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 21:33 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BCD2000]
--a------ 2007-08-17 17:21 532480 C:\WINDOWS\system32\bcd2kcpan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-11-12 12:48 157592 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
--a------ 2006-07-19 13:03 94208 C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2007-06-18 16:10 271360 C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 06:24 286720 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-12-10 20:55 1266936 C:\spiele\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-09-13 22:31 185632 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2006-07-19 13:03 94208 C:\WINDOWS\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\HLSW\\hlsw.exe"=
"C:\\spiele\\Steam\\SteamApps\\ice@team-func.de\\counter-strike\\hl.exe"=
"C:\\Programme\\Gamers.IRC\\mirc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\spiele\\Warcraft III\\war3.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\spiele\\blobby\\volley.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Garena\\Garena.exe"=
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\orbixd.exe"=
"C:\\Programme\\Dassault Systemes\\B17\\intel_a\\code\\bin\\CNEXT.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo1.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\spiele\\listchecker\\pickup.listchecker.exe"=

R2 PSTRIP;PSTRIP;C:\WINDOWS\system32\DRIVERS\PSTRIP.SYS []
R3 BCD2000;Behringer BCD2000 V1.1.1.0;C:\WINDOWS\system32\Drivers\BCD2000.SYS [2007-08-17 17:21]
R3 BCD2000WDM;Behringer BCD2000WDM V1.1.1.0;C:\WINDOWS\system32\Drivers\BCD2000WDM.SYS [2007-08-17 17:21]
R3 DCamUSBSTK018;STK018 Camera;C:\WINDOWS\system32\DRIVERS\STK018W2.sys [2005-06-20 15:08]
R3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2005-08-02 23:10]
R3 USB28xxBGA;PCTV 70e Device;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2007-08-08 08:03]
R3 USB28xxOEM;USB 28xx OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2007-08-08 08:03]
S0 xmasbus;xmasbus;C:\WINDOWS\system32\DRIVERS\xmasbus.sys [2003-12-21 17:24]
S0 xmasscsi;xmasscsi;C:\WINDOWS\System32\Drivers\xmasscsi.sys [2003-12-20 20:03]
S1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2006-10-13 22:53]
S2 BBDemon;Backbone Service;C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe [2006-04-29 07:32]
S2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-09-01 13:32]
S3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-09-13 18:03]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv
.
.
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = about:blank
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 -: {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O17 -: HKLM\CCS\Interface\{B6889D13-B839-48CD-86EF-E1299165E9AC}: NameServer = 192.168.178.1

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 18:58:57
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

**************************************************************************
.

iceONdope · 20.08.2008, 01:03

Hier der Logfile von Smitfraudfix nach dem 2. Schritt (Clean)

SmitFraudFix v2.338

Scan done at 1:42:45.17, 2008-08-20
Run from C:\Dokumente und Einstellungen\Borsti\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

-SilverDragon- · 22.08.2008, 21:52

MalwareBytes Anti-Malware :

Lade dir Malwarebytes Anti-Malware
Folge den Anweisungen der Anleitung und poste das Logfile

-SilverDragon- · 22.08.2008, 23:43

Poste bitte auch noch ein HijackThis Logfile, nach dem scan von Malwarebytes, lass alle Funde von Malwarebytes löschen und Poste den Report.

Blauer Bildschirm / TR/Dldr.FraudLoa.NC

Plagegeister aller Art und deren Bekämpfung: Blauer Bildschirm / TR/Dldr.FraudLoa.NC