7 Viren bzw. Backdoorprogramme gefunden

marleo · 05.10.2008, 11:52

mm das zweite log ist zu groß..wie kann ich das einfügen? oder einfach link von filefactory o.ä.? werd jetzt erstmal den kapersky laufen lassen..

**Sunny** · 05.10.2008, 12:10

Welches Log meinst du, das von Combofix nachdem du das Script ausgeführt hast oder den Report von Kaspersky?

marleo · 05.10.2008, 12:28

ich meinte das log von combofix nach dem scripten..kaspersky läuft gerade und ich poste das log so schnell wie möglich!

**Sunny** · 05.10.2008, 12:30

Wenn das Log zu groß ist, warum auch immer, dann poste es in 2 oder 3 Beiträgen...

oder in [CODE] Logfile ['/CODE]

marleo · 05.10.2008, 13:28

so hier kommt der erste Teil des Combofix logs:

Code:

ATTFilter

ComboFix 08-10-04.07 - XXX 2008-10-05 12:18:52.3 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.205 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\XXX\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
C:\Dokumente und Einstellungen\XXX\dr.exe
C:\Dokumente und Einstellungen\XXX\mc-110-12-0000137.exe
C:\Dokumente und Einstellungen\XXX\n.bat
C:\Dokumente und Einstellungen\XXX\rar.exe
.
	/wow section - STAGE 32
grep: (standard input): Not enough space
Der Vorgang ist bei einer Datei mit einem geöffneten Bereich, der einem Benutzer zugeordnet ist, nicht anwendbar.

	/wow section - STAGE 33
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

	/wow section - STAGE 35
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

	/wow section - STAGE 41
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
[vfind, 5.2 2002-11-15]

Find matching filenames in a directory tree.

usage:  vfind [option...] [path\]file...

Options:
    -?          Show information about this program.
    -a          Print all matching entries.
    -A          Print all matching entries except "." and "..".
    -d[+|-|!]D  Find files modified after/before/not date D.
    -l          Long listing.
    -m          Show short DOS names.
    -n          Show list summary.
    -r          Do not recursively search subdirectories.
    -s[+|-|!]N  File size [more/less/not] N bytes.
    -t[!]T...   Find entried [not] of type T, which is one of more of
                these criteria combined (or-ed) together:
                    a   Archive
                    c   Compressed
                    d   Directory
                    f   File
                    h   Hidden
                    r   Read only
                    s   System
                    v   Volume label
                    w   Writable
    -v          Verbose output.

Filenames can contain wildcard characters:
    ?       Matches any single character (including '.').
    *       Matches zero or more characters (including '.').
    [abc]   Matches 'a', 'b', or 'c'.
    [a-z]   Matches 'a' through 'z'.
    [!a-z]  Matches any character except 'a' thru 'z'.
    `X      Matches X exactly (which may be a wildcard character).
    !X      Matches any filename except X.

Date 'D' is of the form "[YY]YY[-MM[-DD]][:HH[:MM[:SS]]]".
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
[vfind, 5.2 2002-11-15]

Find matching filenames in a directory tree.

usage:  vfind [option...] [path\]file...

Options:
    -?          Show information about this program.
    -a          Print all matching entries.
    -A          Print all matching entries except "." and "..".
    -d[+|-|!]D  Find files modified after/before/not date D.
    -l          Long listing.
    -m          Show short DOS names.
    -n          Show list summary.
    -r          Do not recursively search subdirectories.
    -s[+|-|!]N  File size [more/less/not] N bytes.
    -t[!]T...   Find entried [not] of type T, which is one of more of
                these criteria combined (or-ed) together:
                    a   Archive
                    c   Compressed
                    d   Directory
                    f   File
                    h   Hidden
                    r   Read only
                    s   System
                    v   Volume label
                    w   Writable
    -v          Verbose output.

Im weiteren Verlauf des logs wiederholt sich der Eintrag:
Date 'D' is of the form "[YY]YY[-MM[-DD]][:HH[:MM[:SS]]]".
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
[vfind, 5.2 2002-11-15]

Find matching filenames in a directory tree.

usage: vfind [option...] [path\]file...

Options:
-? Show information about this program.
-a Print all matching entries.
-A Print all matching entries except "." and "..".
-d[+|-|!]D Find files modified after/before/not date D.
-l Long listing.
-m Show short DOS names.
-n Show list summary.
-r Do not recursively search subdirectories.
-s[+|-|!]N File size [more/less/not] N bytes.
-t[!]T... Find entried [not] of type T, which is one of more of
these criteria combined (or-ed) together:
a Archive
c Compressed
d Directory
f File
h Hidden
r Read only
s System
v Volume label
w Writable
-v Verbose output.

und nach 40 wiederholungen oder so folgt der letzte Teil:

Code:

ATTFilter

Date 'D' is of the form "[YY]YY[-MM[-DD]][:HH[:MM[:SS]]]".
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

	/wow section - STAGE 47
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.


((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\XXX\dr.exe
C:\Dokumente und Einstellungen\XXX\n.bat
C:\Dokumente und Einstellungen\XXX\rar.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-05 bis 2008-10-05  ))))))))))))))))))))))))))))))
.

2008-10-05 11:27 . 2008-10-05 11:27	61,440	--a------	C:\WINDOWS\system32\drivers\xetlv.sys
2008-10-03 16:02 . 2008-10-03 16:02	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Startmen³
2008-10-02 17:10 . 2008-10-02 17:10	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\Startmen³
2008-10-01 11:18 . 2008-10-01 11:18	30,615	--a------	C:\Dokumente und Einstellungen\XXX\x.exe
2008-10-01 11:03 . 2008-10-01 11:03	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\xing shared
2008-10-01 10:30 . 2008-10-01 10:31	<DIR>	d--------	C:\Programme\QuickTime
2008-10-01 10:30 . 2008-10-01 10:30	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Apple
2008-10-01 10:29 . 2008-10-01 10:29	<DIR>	d--------	C:\Programme\Apple Software Update
2008-10-01 10:29 . 2008-10-01 10:29	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-09-30 22:51 . 2008-09-30 22:51	<DIR>	d--------	C:\WINDOWS\Content.IE5
2008-09-30 21:44 . 2008-10-02 15:35	3,376	--a------	C:\WINDOWS\system32\tmp.reg
2008-09-30 21:43 . 2008-09-08 23:38	88,576	--a------	C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-09-30 21:43 . 2008-09-19 12:26	82,944	--a------	C:\WINDOWS\system32\o4Patch.exe
2008-09-30 21:08 . 2008-09-30 21:09	<DIR>	d--------	C:\rsit
2008-09-30 20:33 . 2008-09-30 20:33	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\DoctorWeb
2008-09-30 20:06 . 2008-09-30 20:06	250	--a------	C:\WINDOWS\gmer.ini
2008-09-27 18:39 . 2008-09-27 18:39	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\dwhelper
2008-09-27 18:37 . 2008-09-27 18:37	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\vlc
2008-09-27 01:20 . 2008-09-27 01:20	<DIR>	d--------	C:\WatchNow
2008-09-26 19:34 . 2008-09-26 19:34	<DIR>	d--------	C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\MailFrontier
2008-09-26 15:01 . 2008-09-26 15:01	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-09-26 15:01 . 2008-09-26 15:08	4,212	---h-----	C:\WINDOWS\system32\zllictbl.dat
2008-09-13 11:59 . 2008-09-30 18:09	0	--a------	C:\23990098.$$$
2008-09-09 20:16 . 2008-09-26 15:11	<DIR>	d--------	C:\Dokumente und Einstellungen\XXX\vw
2008-09-06 17:52 . 2001-08-17 22:43	24,576	---------	C:\WINDOWS\system32\msxml3a.dll
2008-09-06 17:36 . 2008-09-06 17:52	<DIR>	d--------	C:\Programme\Audible
2008-09-06 15:09 . 2008-09-06 15:09	90,112	--a------	C:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-06 15:09 . 2008-09-06 15:09	57,344	--a------	C:\WINDOWS\system32\QuickTime.qts

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-05 09:08	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\AdobeUM
2008-10-04 22:03	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-03 13:37	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-02 23:27	---------	d-----w	C:\Programme\Trend Micro
2008-10-01 09:03	---------	d-----w	C:\Programme\Gemeinsame Dateien\Real
2008-10-01 09:02	499,712	----a-w	C:\WINDOWS\system32\msvcp71.dll
2008-10-01 08:30	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-09-30 18:59	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-27 16:37	---------	d-----w	C:\Programme\VideoLAN
2008-09-22 18:29	---------	d-----w	C:\Programme\TuneUp Utilities 2007
2008-09-22 14:50	---------	d-----w	C:\Programme\ICQ6
2008-09-21 10:55	---------	d-----w	C:\Programme\Malwarebytes' Anti-Malware
2008-09-09 22:04	38,528	----a-w	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 22:03	17,200	----a-w	C:\WINDOWS\system32\drivers\mbam.sys
2008-09-04 19:30	---------	d-----w	C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\InterVideo
2008-08-31 21:38	---------	d-----w	C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\TuneUp Software
2008-08-31 19:11	---------	d-----w	C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ICQ
2008-08-31 15:01	---------	d-----w	C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\ICQ
2008-08-30 10:13	---------	d-----w	C:\Programme\Windows Live
2008-08-30 09:49	---------	d---a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-30 09:49	---------	d-----w	C:\Programme\SpywareBlaster
2008-08-27 16:12	---------	dcsh--w	C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-08-27 16:08	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-08-27 15:57	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-27 15:56	---------	d-----w	C:\Programme\ICQ6Toolbar
2008-08-27 15:56	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-08-19 17:08	---------	d-----w	C:\Programme\Microsoft Silverlight
2008-08-16 18:57	---------	d-----w	C:\Dokumente und Einstellungen\marleo\Anwendungsdaten\Academic Software Zurich
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07	270,880	----a-w	C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07	210,976	----a-w	C:\WINDOWS\system32\muweb.dll
2008-07-11 23:32	4,706,163	----a-w	C:\WINDOWS\REGBK01.ZIP
2008-07-07 20:30	253,952	----a-w	C:\WINDOWS\system32\es.dll
2008-04-28 07:43	0	----a-w	C:\Programme\Citavi.txt
2005-11-04 13:39	774,144	----a-w	C:\Programme\RngInterstitial.dll
2006-01-15 18:11	152	--sh--r	C:\WINDOWS\system32\133949F292.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-03-02 65536]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" [2007-04-27 312328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-10-30 192512]
"CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2005-01-21 675840]
"TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2004-11-29 53248]
"TOSHIBA Accessibility"="C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe" [2004-12-07 24576]
"SVPWUTIL"="C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe" [2005-02-25 65536]
"Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [2004-11-12 73728]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-22 339968]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-22 266497]
"HWSetup"="C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-12-23 28672]
"PadTouch"="C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" [2004-11-17 1077327]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-10-01 185872]
" Malwarebytes Anti-Malware  (reboot)"="C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" [2008-09-10 1253040]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-28 C:\WINDOWS\agrsmmsg.exe]
"Zooming"="ZoomingHook.exe" [2004-07-14 C:\WINDOWS\system32\ZoomingHook.exe]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-02-16 C:\WINDOWS\system32\TCtrlIOHook.exe]
"TPSMain"="TPSMain.exe" [2005-01-21 C:\WINDOWS\system32\TPSMain.exe]
"CFSServ.exe"="CFSServ.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 6 (0x6)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Cisco Systems VPN Client.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Cisco Systems VPN Client.lnk
backup=C:\WINDOWS\pss\Cisco Systems VPN Client.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^wmplayer.exe]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\wmplayer.exe
backup=C:\WINDOWS\pss\wmplayer.exeCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2003-07-13 02:49 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Microsoft Office Outlook"=C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE /recycle
"ICQ"="C:\Programme\ICQ6\ICQ.exe" silent
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe"
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SmoothView"=C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\TOSHIBA\\ConfigFree\\CFXFER.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-19 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-22 45376]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 11264]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 367104]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{96f9d5d8-e742-11db-a1bb-00059a3c7800}]
\Shell\AutoRun\command - E:\setupSNK.exe
.
Inhalt des "geplante Tasks" Ordners

2008-10-03 C:\WINDOWS\Tasks\1-Click Maintenance.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-27 06:51]

2008-10-03 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-27 06:51]

2008-10-01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-10-05 12:20:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-05 12:22:03
ComboFix-quarantined-files.txt  2008-10-05 10:21:54
ComboFix2.txt  2008-10-02 15:19:20

Vor Suchlauf: 23 Verzeichnis(se), 46,701,056,000 Bytes frei
Nach Suchlauf: 27 Verzeichnis(se), 46,680,850,432 Bytes frei

5677	--- E O F ---	2008-10-05 08:46:44

**Sunny** · 05.10.2008, 14:26

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\WINDOWS\system32\drivers\xetlv.sys 
C:\Dokumente und Einstellungen\XXX\x.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

marleo · 05.10.2008, 21:05

Hallo! Leider hat das internet heute überhaupt nicht funktioniert

ich weiß noch nicht warum..ich lass den Karspery noch einmal laufen und poste das log später!
Hier das virustotal log von der x.exe:

Code:

ATTFilter

 File x.exe received on 10.05.2008 22:01:45 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 1/36 (2.78%)
Loading server information...
Your file is queued in position: ___.
Estimated start time is between ___ and ___ .
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Compact
Print results Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email: 	
	
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2008.10.3.2	2008.10.03	-
AntiVir	7.8.1.34	2008.10.04	-
Authentium	5.1.0.4	2008.10.05	-
Avast	4.8.1248.0	2008.10.04	-
AVG	8.0.0.161	2008.10.05	-
BitDefender	7.2	2008.10.05	-
CAT-QuickHeal	9.50	2008.10.04	-
ClamAV	0.93.1	2008.10.05	-
DrWeb	4.44.0.09170	2008.10.05	-
eSafe	7.0.17.0	2008.10.05	-
eTrust-Vet	31.6.6129	2008.10.04	-
Ewido	4.0	2008.10.05	-
F-Prot	4.4.4.56	2008.10.05	-
F-Secure	8.0.14332.0	2008.10.05	Suspicious:W32/Zlob!Gemini
Fortinet	3.113.0.0	2008.10.04	-
GData	19	2008.10.05	-
Ikarus	T3.1.1.34.0	2008.10.05	-
K7AntiVirus	7.10.484	2008.10.04	-
Kaspersky	7.0.0.125	2008.10.05	-
McAfee	5398	2008.10.04	-
Microsoft	1.4005	2008.10.05	-
NOD32	3495	2008.10.04	-
Norman	5.80.02	2008.10.03	-
Panda	9.0.0.4	2008.10.05	-
PCTools	4.4.2.0	2008.10.05	-
Prevx1	V2	2008.10.05	-
Rising	20.63.62.00	2008.09.28	-
SecureWeb-Gateway	6.7.6	2008.10.05	-
Sophos	4.34.0	2008.10.05	-
Sunbelt	3.1.1675.1	2008.09.27	-
Symantec	10	2008.10.05	-
TheHacker	6.3.1.0.101	2008.10.04	-
TrendMicro	8.700.0.1004	2008.10.03	-
VBA32	3.12.8.6	2008.10.05	-
ViRobot	2008.10.4.1406	2008.10.04	-
VirusBuster	4.5.11.0	2008.10.05	-
Additional information
File size: 30615 bytes
MD5...: d46454f584619e3f4580082132306750
SHA1..: da597fa8f962ab16aae97fcd81fc871a1df4e672
SHA256: 418a100a86960af8ffd08c1974cae23a533cfc7807f3a3049d8a4fed334de806
SHA512: 3325c547d371e9396e2bed33b0de80a81ffcddcd842701f362b3611bfb53d7e3
d7ea33d9841a407d8990c03b4d004f7fb33cb83461dd3620a527bce4061f4875
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402328
timedatestamp.....: 0x43791005 (Mon Nov 14 22:30:29 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14bc 0x1600 6.05 46d1f7d223469fec443c92088c90c874
.rdata 0x3000 0x5b6 0x600 4.76 29c4e2d1c4be9820e6c24910cf4cadd1
.data 0x4000 0x4f0 0x600 3.90 65242517d245a43cb7e6b23c707fd562
.rsrc 0x5000 0x502 0x600 2.38 0d835cf69514705bb7a2424c34f6d01a

( 4 imports )
> KERNEL32.dll: GetTickCount, CreateProcessA, GetStdHandle, CloseHandle, GetExitCodeProcess, WaitForSingleObject, RemoveDirectoryA, FindClose, FindNextFileA, DeleteFileA, FindFirstFileA, ReadFile, GetFileSize, CreateFileA, WriteFile, GetFileAttributesA, SetEnvironmentVariableA, GetEnvironmentVariableA, CreateDirectoryA, GetCurrentProcessId, GetTempPathA, SetCurrentDirectoryA, GetModuleFileNameA, SetStdHandle, GetModuleHandleA, GetStartupInfoA
> USER32.dll: MessageBoxA
> SHELL32.dll: ShellExecuteA
> MSVCRT.dll: _XcptFilter, fflush, printf, sprintf, memset, strstr, strcmp, calloc, memcpy, strlen, strtok, free, strcat, strcpy, _exit, _iob, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=d46454f584619e3f4580082132306750

marleo · 05.10.2008, 21:06

die zweite datei habe ich nicht gefunden! Vielen Dank schon mal!! Meinst du ich kann e-mails etc aufrufen oder ist es sehr gefährlich? Ich kann das gar nicht einschätzen

Danke!

marleo · 06.10.2008, 01:04

so und hier folgt nun auch endlich der kaspersky log:

Code:

ATTFilter

A-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Montag, 6. Oktober 2008 02:00:27
 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.1
 Letztes Update der Antiviren-Datenbanken:  5/10/2008
 Anzahl der Einträge in den Antiviren-Datenbanken: 1156073
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	C:\
	D:\
	F:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 57318
	Viren gefunden: 1
	Infizierte Objekte gefunden: 0
	Verdächtige Objekte gefunden: 2
	Untersuchungszeit: 00:59:30

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudCgp.zip/a.exe	Verdächtige Objekte: Password-protected-EXE	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudCgp.zip	ZIP: verdächtig - 1	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\XXX\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008092920081006\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008100620081007\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\XXX\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\XXX\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Programme\FRITZ!DSL\access\access.lock	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{99802502-E435-45C9-ABE1-D5D46CA10E44}\RP8\change.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Sti_Trace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiadebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiaservc.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.

Vielen lieben Dank!

marleo · 09.10.2008, 15:11

Hallo zusammen!! Könnt Ihr mir nochmal helfen? Muss ich mir noch Sorgen machen? Ich würd mich freuen wenn jemand noch Zeit hat!!!!

marleo · 10.10.2008, 20:08

ich will ja nicht nerven, nur eine kurze rückmeldung wie ich weiter vorgehen muss wäre supi

danke schön!

marleo · 12.10.2008, 13:08

Hallo zusammen!!

Könnt ihr mir nochmal helfen? ich weiß jetzt nicht, ob alles runter ist oder ob ich noch weitere Säuberungsaktionen durchführen muss! Es wäre echt super wenn ihr mir nochmal helfen könnt!! Bitte!!!

05.10.2008, 12:10	#17
Sunny Administrator > Competence Manager	7 Viren bzw. Backdoorprogramme gefunden Welches Log meinst du, das von Combofix nachdem du das Script ausgeführt hast oder den Report von Kaspersky? __________________ __________________

05.10.2008, 12:30	#19
Sunny Administrator > Competence Manager	7 Viren bzw. Backdoorprogramme gefunden Wenn das Log zu groß ist, warum auch immer, dann poste es in 2 oder 3 Beiträgen... oder in [CODE] Logfile ['/CODE] __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

7 Viren bzw. Backdoorprogramme gefunden

Plagegeister aller Art und deren Bekämpfung: 7 Viren bzw. Backdoorprogramme gefunden