Trojaner über msn

loulina · 21.10.2008, 07:51

Hallo!

Ich hab mir über msn ("bist das du auf dem foto?") einem trojaner eingefangen. http://www.trojaner-board.de/images/smilies/pfui.gif

Nun hab ich schon etliche Virenprogramme durch, die alle nix gefunden haben oder das Problem wieder kommen lassen.

In diesem Forum gibt es schon einen ähnlichen Beitrag, an den ich mich gehalten habe (CCleaner, dann Combofix). Ich bitte um Eure Hilfe bei der Auswertung des Combofix Logs.

Code:

ATTFilter

ComboFix 08-10-19.04 - Lisa 2008-10-21  7:55:23.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.216 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\softwares.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-21 bis 2008-10-21  ))))))))))))))))))))))))))))))
.

2008-10-21 07:45 . 2008-10-21 07:45	<DIR>	d--------	C:\Programme\CCleaner
2008-10-21 05:44 . 2008-10-21 05:44	129	--a------	C:\WINDOWS\system32\821504.reg
2008-10-20 20:01 . 2008-10-20 20:01	129	--a------	C:\WINDOWS\system32\502711.reg
2008-10-20 17:25 . 2008-10-20 17:25	129	--a------	C:\WINDOWS\system32\577933.reg
2008-10-20 04:31 . 2008-10-20 04:31	<DIR>	d--------	C:\Dokumente und Einstellungen\***\.housecall6.6
2008-10-20 04:05 . 2008-10-20 04:05	<DIR>	d--------	C:\Programme\Windows Live Toolbar
2008-10-20 04:05 . 2008-10-20 04:05	<DIR>	d--------	C:\Programme\Windows Live Favorites
2008-10-20 04:01 . 2008-10-20 04:04	<DIR>	d--------	C:\Programme\Windows Live
2008-10-20 03:53 . 2008-10-20 03:53	129	--a------	C:\WINDOWS\system32\417102.reg
2008-10-20 03:24 . 2008-10-20 03:24	129	--a------	C:\WINDOWS\system32\677953.reg
2008-10-20 03:04 . 2008-10-20 03:04	<DIR>	d--------	C:\Programme\Lavasoft
2008-10-20 03:04 . 2008-10-20 03:08	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-20 03:03 . 2008-10-20 03:03	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-20 02:49 . 2008-10-20 02:49	129	--a------	C:\WINDOWS\system32\502521.reg
2008-10-19 22:46 . 2008-10-19 22:46	<DIR>	d--------	C:\Programme\Alwil Software
2008-10-19 22:42 . 2008-10-19 22:42	129	--a------	C:\WINDOWS\system32\126167.reg
2008-10-19 21:25 . 2008-10-19 21:25	129	--a------	C:\WINDOWS\system32\900801.reg
2008-10-19 21:11 . 2008-10-19 21:11	129	--a------	C:\WINDOWS\system32\181981.reg
2008-10-19 21:05 . 2008-10-19 21:05	129	--a------	C:\WINDOWS\system32\767788.reg
2008-10-19 21:01 . 2008-10-19 21:01	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avg7
2008-10-19 20:16 . 2008-10-19 21:09	<DIR>	d-a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-19 18:56 . 2008-10-19 21:04	<DIR>	d--------	C:\Programme\Spybot - Search & Destroy
2008-10-19 18:56 . 2008-10-19 21:02	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-19 05:20 . 2008-10-19 05:20	129	--a------	C:\WINDOWS\system32\258278.reg
2008-10-18 20:32 . 2008-10-18 20:32	129	--a------	C:\WINDOWS\system32\978352.reg
2008-10-18 20:32 . 2008-10-18 20:32	129	--a------	C:\WINDOWS\system32\936685.reg
2008-10-18 20:32 . 2008-10-18 20:32	129	--a------	C:\WINDOWS\system32\830169.reg
2008-10-18 20:32 . 2008-10-18 20:32	129	--a------	C:\WINDOWS\system32\768305.reg
2008-10-18 20:32 . 2008-10-18 20:32	129	--a------	C:\WINDOWS\system32\70912.reg
2008-10-18 20:32 . 2008-10-18 20:32	129	--a------	C:\WINDOWS\system32\460703.reg
2008-10-18 20:32 . 2008-10-18 20:32	129	--a------	C:\WINDOWS\system32\332663.reg
2008-10-18 20:32 . 2008-10-18 20:32	129	--a------	C:\WINDOWS\system32\322425.reg
2008-10-18 20:32 . 2008-10-18 20:32	129	--a------	C:\WINDOWS\system32\31581.reg
2008-10-18 20:32 . 2008-10-18 20:32	129	--a------	C:\WINDOWS\system32\310190.reg
2008-10-18 19:09 . 2008-10-18 19:09	<DIR>	d--------	C:\WINDOWS\system32\sounds
2008-10-18 19:09 . 2008-10-18 19:09	<DIR>	d--------	C:\WINDOWS\system32\logs
2008-10-18 19:09 . 2008-10-18 19:09	<DIR>	d--------	C:\WINDOWS\system32\download
2008-10-18 19:09 . 2008-10-18 20:32	40	--a------	C:\WINDOWS\system32\value.ini
2008-10-16 10:23 . 2008-08-14 15:19	2,191,488	-----c---	C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-16 10:23 . 2008-08-14 15:19	2,147,840	-----c---	C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-16 10:23 . 2008-08-14 15:19	2,068,352	-----c---	C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-16 10:23 . 2008-08-14 15:19	2,026,496	-----c---	C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-16 10:13 . 2008-09-15 17:24	1,846,528	-----c---	C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-16 10:13 . 2008-09-08 12:41	333,824	-----c---	C:\WINDOWS\system32\dllcache\srv.sys
2008-10-07 20:08 . 2008-10-07 20:08	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM
2008-10-07 20:06 . 2008-10-07 20:06	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail
2008-10-06 14:17 . 2008-10-06 14:17	<DIR>	d--------	C:\WINDOWS\system32\de-de
2008-10-06 14:17 . 2008-10-06 14:17	<DIR>	d--------	C:\WINDOWS\system32\de
2008-10-06 14:17 . 2008-10-06 14:17	<DIR>	d--------	C:\WINDOWS\system32\bits
2008-10-06 14:17 . 2008-10-06 14:17	<DIR>	d--------	C:\WINDOWS\l2schemas
2008-10-06 14:11 . 2008-10-06 14:18	<DIR>	d--------	C:\WINDOWS\ServicePackFiles
2008-10-06 13:43 . 2008-10-06 13:43	<DIR>	d--------	C:\WINDOWS\EHome
2008-09-30 00:51 . 2008-09-30 00:51	268	--ah-----	C:\sqmdata13.sqm
2008-09-30 00:51 . 2008-09-30 00:51	244	--ah-----	C:\sqmnoopt13.sqm
2008-09-29 18:43 . 2008-09-29 18:43	268	--ah-----	C:\sqmdata12.sqm
2008-09-29 18:43 . 2008-09-29 18:43	244	--ah-----	C:\sqmnoopt12.sqm
2008-09-25 00:50 . 2008-09-25 00:50	268	--ah-----	C:\sqmdata11.sqm
2008-09-25 00:50 . 2008-09-25 00:50	244	--ah-----	C:\sqmnoopt11.sqm
2008-09-24 22:47 . 2008-09-24 22:47	268	--ah-----	C:\sqmdata10.sqm
2008-09-24 22:47 . 2008-09-24 22:47	244	--ah-----	C:\sqmnoopt10.sqm
2008-09-24 21:55 . 2008-09-24 21:55	268	--ah-----	C:\sqmdata09.sqm
2008-09-24 21:55 . 2008-09-24 21:55	244	--ah-----	C:\sqmnoopt09.sqm
2008-09-23 18:42 . 2008-09-23 18:42	268	--ah-----	C:\sqmdata08.sqm
2008-09-23 18:42 . 2008-09-23 18:42	244	--ah-----	C:\sqmnoopt08.sqm
2008-09-23 14:56 . 2008-09-23 14:56	268	--ah-----	C:\sqmdata07.sqm
2008-09-23 14:56 . 2008-09-23 14:56	244	--ah-----	C:\sqmnoopt07.sqm
2008-09-23 05:04 . 2008-09-23 05:04	268	--ah-----	C:\sqmdata06.sqm
2008-09-23 05:04 . 2008-09-23 05:04	244	--ah-----	C:\sqmnoopt06.sqm
2008-09-23 04:40 . 2008-09-23 04:40	268	--ah-----	C:\sqmdata05.sqm
2008-09-23 04:40 . 2008-09-23 04:40	244	--ah-----	C:\sqmnoopt05.sqm
2008-09-21 19:51 . 2008-09-21 19:51	268	--ah-----	C:\sqmdata04.sqm
2008-09-21 19:51 . 2008-09-21 19:51	244	--ah-----	C:\sqmnoopt04.sqm
2008-09-21 11:39 . 2008-09-21 11:39	268	--ah-----	C:\sqmdata03.sqm
2008-09-21 11:39 . 2008-09-21 11:39	244	--ah-----	C:\sqmnoopt03.sqm

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-21 05:02	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2008-10-21 05:00	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\skypePM
2008-10-20 19:17	---------	d-----w	C:\Programme\Soulseek
2008-10-20 02:02	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-10-19 06:01	---------	d-----w	C:\Programme\OpenOffice.org 2.4
2008-10-19 05:59	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org2
2008-10-06 11:30	0	----a-w	C:\WINDOWS\system32\drivers\lvuvc.hs
2008-10-06 11:30	0	----a-w	C:\WINDOWS\system32\drivers\logiflt.iad
2008-09-15 15:24	1,846,528	----a-w	C:\WINDOWS\system32\win32k.sys
2008-09-09 23:29	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\dvdcss
2008-09-09 14:47	---------	d-----w	C:\Programme\Java
2008-09-08 13:37	18,199	----a-w	C:\WINDOWS\system32\winwizard.dll
2008-09-08 10:41	333,824	----a-w	C:\WINDOWS\system32\drivers\srv.sys
2008-09-05 10:39	---------	d-----w	C:\Programme\WinSCP
2008-09-03 08:24	---------	d-----w	C:\Programme\Avanquest update
2008-09-03 08:20	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-09-03 08:20	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
2008-09-03 08:19	---------	d-----w	C:\Programme\Sony Ericsson
2008-09-03 08:19	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\InstallShield
2008-09-03 08:19	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-08-20 05:08	671,744	----a-w	C:\WINDOWS\system32\wininet.dll
2008-08-14 13:19	2,191,488	----a-w	C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:19	2,068,352	----a-w	C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-01 19:43	127,034	------r	C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-07 68856]
"LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2008-08-01 66864]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2008-02-20 360448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 106496]
"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2005-03-08 32768]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 98393]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 688217]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2006-11-21 35328]
"Arabica"="C:\Programme\Arabica\Astart.exe" [2007-01-20 102400]
"H2O"="C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-23 385024]
"TalkAndWrite"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe" [2007-11-08 3042816]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2008-02-13 564496]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam\Quickcam.exe" [2008-02-13 2196240]
"SiSPower"="SiSPower.dll" [2005-03-04 C:\WINDOWS\system32\SiSPower.dll]
"scvhost"="mirc.exe" [2008-07-03 C:\WINDOWS\system32\mirc.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-08-01 66864]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]
Utility Tray.lnk - C:\WINDOWS\system32\sistray.exe [2006-12-19 266240]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Soulseek\\slsk.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Programme\\WinSCP\\WinSCP.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"64067:TCP"= 64067:TCP:Azureus

R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 33792]
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2004-02-12 191092]
R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2004-01-28 6100]
S3 a016bus;Sony Ericsson Device A016 driver (WDM);C:\WINDOWS\system32\DRIVERS\a016bus.sys [2008-01-18 83880]
S3 a016mdfl;Sony Ericsson Device A016 USB WMC Modeme Filter;C:\WINDOWS\system32\DRIVERS\a016mdfl.sys [2008-01-18 15016]
S3 a016mdm;Sony Ericsson Device A016 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\a016mdm.sys [2008-01-18 110504]
S3 a016mgmt;Sony Ericsson Device A016 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\a016mgmt.sys [2008-01-18 104488]
S3 a016obex;Sony Ericsson Device A016 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\a016obex.sys [2008-01-18 100648]
S3 LVRS;Logitech RightSound Filter Driver;C:\WINDOWS\system32\DRIVERS\lvrs.sys [2008-02-06 628760]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c753a6e-0ce0-11dd-852d-00904bfb6d4b}]
\Shell\AutoRun\command - G:\wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ff5d75a-0fb2-11dc-84f4-00904bfb6d4b}]
\shell\verb1\command - desktop.exe

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-10-21 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dwzu201l.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://ww.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://mystart..incredimail.com/german/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-21 07:56:23
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-21  7:57:42
ComboFix-quarantined-files.txt  2008-10-21 05:57:36

Vor Suchlauf: 15 Verzeichnis(se), 16.995.049.472 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 16,998,268,928 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

210	--- E O F ---	2008-10-19 02:10:37

Braucht Ihr aus dem Qoobox Ordner auch Informationen?

Ich hoffe Ihr könnt mir helfen...

Vielen Dank,
Loulina

loulina · 22.10.2008, 06:24

Übrigens eines der programme, das sich nach dem dem hochfahren immer einschaltet nennt sich mirc.exe!

Trojaner über msn

Plagegeister aller Art und deren Bekämpfung: Trojaner über msn

Trojaner über msn

Trojaner über msn

Ähnliche Themen: Trojaner über msn

22.10.2008, 06:24	#2
loulina	Trojaner über msn Übrigens eines der programme, das sich nach dem dem hochfahren immer einschaltet nennt sich mirc.exe! __________________