| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
25.08.2008, 13:27
| #1 |
| |  TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen Hallo verehrte Trojaner-Jäger, ich habe mir über eine USB-Verbindung mit meiner Digitalkamera - die ich vorher in einem Internetcafé angeschlossen hatte - einige Trojaner eingefangen. Negative Auswirkungen kann ich derzeit nicht erkennen. Die einzige Abnormalität, die mir auffällt: Ein Explorer-Fenster mit meinen „Eigenen Dateien“ öffnet sich unmittelbar nach Systemstart. Mein System: Windows XP Service Pack 3 (Windows Firewall + Avira AntiVir) Direkt nach Anschluss der Kamera hat AntiVir den folgenden Trojaner erkannt und in die Quarantäne verschoben: TR.Crypt.XPACK.Gen In: C:/Windows/System32/ckvo0.dll Im Laufe eines ausführlichen Tests hat AntiVir zwei weitere Trojaner erkannt und entsprechende Dateien in die Quarantäne verschoben: Code:
ATTFilter C:\WINDOWS\system32\EXPLORER.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.VB.H.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ffc8ff.qua' verschoben!
C:\2.CMD
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f2c906.qua' verschoben!
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP174\A0122260.exe
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e0cf93.qua' verschoben!
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP174\A0122261.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.VB.H.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e0cf95.qua' verschoben!
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP174\A0122262.cmd
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e0cf98.qua' verschoben!
C:\WINDOWS\system32\ckvo0.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4925d3ca.qua' verschoben!
D:\2.cmd
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4912d43f.qua' verschoben!
D:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP174\A0122264.cmd
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e0d603.qua' verschoben!
C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP174\A0122263.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e0ffe2.qua' verschoben!
Code:
ATTFilter Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\WINDOWS\system32\serauth1.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\serauth2.dll (Trojan.Agent) -> Quarantined and deleted successfully.
Nun zeigen mir sowohl AntiVir als auch Anti-Malware „0“ infizierte Objekte an. Bedeutet das nun, alles ist wieder clean? Muss ich weitere Sicherheitsmaßnahmen ergreifen (Passwörter ändern usw.)? Zur Auswertung füge ich noch den HijackThis Report-Datei an: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:16:24, on 25.08.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Asz.Citavi.IEPicker.IEPickerButton - {609D670F-B735-4da7-AC6D-F3BD358E325E} - C:\WINDOWS\system32\mscoree.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [GMX_GMX Upload-Manager] "C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE" /hide O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Citavi Picker... - file://C:\Programme\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Citavi Picker - {619D670F-B735-4da7-AC6D-F3BD358E325E} - C:\WINDOWS\system32\mscoree.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1201960301375 O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - h**p://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe -- End of file - 6182 bytes Aranel |
|
25.08.2008, 15:49
| #2 |
| /// AVZ-Toolkit Guru   | TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen Hallo Aranel.
__________________Die Speicherkarte der Kammera solltest du formatieren! Systemanalyse
__________________ |
|
25.08.2008, 16:39
| #3 |
| | AVZ-Sysinfo Hallo Undoreal,
__________________vielen Dank für deine Hilfe. Ich habe alles getan, was du beschrieben hast. Leider habe ich AntiVir nicht gänzlich geschlossen bekommen - Lediglich deaktiviert und per Str+Alt+Entf - Prozess beenden - Nicht der eleganteste Weg, aber ich hoffe das ist OK soweit... Nachfolgend der Link: http://rapidshare.com/files/140013955/avz_sysinfo.zip Viele Grüße, Aranel |
|
25.08.2008, 16:49
| #4 | |
| /// AVZ-Toolkit Guru | TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen Fixe mit HijackThis folgende Einträge: Zitat:
Code:
ATTFilter begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{619D670F-B735-4da7-AC6D-F3BD358E325E}');
QuarantineFile('C:\WINDOWS\system32\drivers\GDTdiIcpt.sys','');
QuarantineFile('C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe','');
QuarantineFile('c:\programme\gemeinsame dateien\real\update_ob\realsched.exe','');
BC_DeleteFile('wsctf.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
25.08.2008, 17:37
| #5 |
| | ComboFix-Report Hallo undoreal! Nachfolgend der ComboFix-Report: Code:
ATTFilter
ComboFix 08-08-24.03 - Mustermann 2008-08-25 18:28:09.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.252 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Mustermann\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system\oeminfo.ini
D:\Autorun.inf
.
((((((((((((((((((((((( Dateien erstellt von 2008-07-25 bis 2008-08-25 ))))))))))))))))))))))))))))))
.
2008-08-25 16:39 . 2008-08-25 16:39 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-08-25 16:39 . 2008-08-25 16:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-25 14:34 . 2008-08-25 15:11 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-08-25 11:26 . 2008-08-25 11:26 <DIR> d-------- C:\Programme\Trend Micro
2008-08-25 11:04 . 2008-08-25 11:04 <DIR> d-------- C:\Programme\CCleaner
2008-08-25 11:00 . 2008-08-25 11:00 <DIR> d-------- C:\Programme\Java
2008-08-25 11:00 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-25 10:59 . 2008-08-25 10:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-08-25 09:56 . 2008-08-25 09:56 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-25 09:56 . 2008-08-25 09:56 <DIR> d-------- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Malwarebytes
2008-08-25 09:56 . 2008-08-25 09:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-25 09:56 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-25 09:56 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-25 08:58 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-25 08:58 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-23 12:28 . 2008-08-23 12:36 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-08-23 12:28 . 2008-08-25 11:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-23 12:07 . 2008-08-23 12:07 <DIR> d-------- C:\Programme\Lavasoft
2008-08-23 12:07 . 2008-08-25 09:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-23 11:26 . 2008-08-23 11:26 <DIR> d-------- C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\MSNInstaller
2008-08-01 11:21 . 2008-08-23 09:44 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-01 11:19 . 2008-08-23 10:19 <DIR> d-------- C:\Programme\Google
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-25 11:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-23 09:25 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-23 09:20 --------- d-----w C:\Programme\DivX
2008-08-23 08:14 --------- d-----w C:\Programme\EPSON
2008-07-29 08:43 7,680 ----a-w C:\WINDOWS\system32\uigxnp.dll
2008-07-29 08:43 149,120 ----a-w C:\WINDOWS\system32\drivers\uigxrdr.SYS
2008-07-26 14:37 --------- d-----w C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Skype
2008-07-26 14:25 --------- d-----w C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\skypePM
2008-07-20 14:58 --------- d-----w C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Academic Software Zurich
2008-07-20 14:10 --------- d-----w C:\Programme\Citavi
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-04-28 07:43 0 ----a-w C:\Programme\Citavi.txt
2008-02-10 16:26 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2005-12-26 17:10 5 ----a-w C:\Dokumente und Einstellungen\Mustermann\getfile.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"GMX_GMX Upload-Manager"="C:\Programme\GMX\GMX Upload-Manager\DAVSRV.EXE" [2008-07-29 10:44 909312]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-03-03 12:00 335872]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 08:56 266497]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 21:27 312320]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-17 14:54 185896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 08:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-01-08 19:54 65536 C:\WINDOWS\SOUNDMAN.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 04:22 15360]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
R1 uigxrdr;uigxrdr;C:\WINDOWS\system32\DRIVERS\uigxrdr.sys [2008-07-29 10:43]
R2 GDTdiInterceptor;GDTdiInterceptor;C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [2006-01-12 23:35]
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2004-02-12 02:18]
S3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2004-01-28 00:00]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9dd93564-70e5-11dd-b2ba-00030d2a64ee}]
\Shell\AutoRun\command - F:\2.cmd
\Shell\explore\Command - F:\2.cmd
\Shell\open\Command - F:\2.cmd
*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-NWEReboot - (no file)
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Mustermann\Anwendungsdaten\Mozilla\Firefox\Profiles\vspm7v4b.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.tagesschau.de
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-25 18:30:01
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-08-25 18:31:04
ComboFix-quarantined-files.txt 2008-08-25 16:31:01
Pre-Run: 9 Verzeichnis(se), 20,698,787,840 Bytes frei
Post-Run: 12 Verzeichnis(se), 20,777,791,488 Bytes frei
120 --- E O F --- 2008-08-25 07:17:21
Aranel |
|
| Themen zu TR.Vundo.Gen/TR.Agent.VB.H.1/TR.Crypt.XPack.Gen |
| adobe, anschluss, antivir, auswertung, avira, bho, download, excel, firefox, firewall, helper, hijack.system.hidden, hijackthis, hkus\s-1-5-18, hotkey, internet explorer, microsoft, mozilla, mozilla firefox, namen, object, programme, quara, software, system volume information, windows, windows xp, windows xp sp3, xp sp3, ändern, öffnet |
Linear-Darstellung
