Hallo und Vielen Dank für Eure Aufmerksamkeit.

Ich habe schon im Board gesucht und auch google benutzt(wenn es funktioniert) und komme trotzdem einfach nicht weiter. Die Probleme ähneln denen von User banakos (4 Threads vorher). Aber leider bin ich nicht so fit um mir selbst zu helfen und daher fange ich mal ganz vorne an.

System: Win XP Prof. SP 3 Intel Celeron 3 Ghz 1GB Ram, Zonealarm als Firewall und Antivir Classic mit tgl. Updates.

Nun mein Problem: Seit einer Woche komme ich kaum mehr vorwärts im Internet, das Laden der Seiten dauert sehr lange und wenn ich bei google etwas eingeben werde ich irgendwohin verlinkt. Ich hab Antivir drüber laufen lassen aber das meckert nicht. Ich habe in den letzten 2 Wochen kein Programm neuinstalliert.

Jetzt hab ich zwar jede Menge Tipps gelesen, aber mir ist ehrlich gesagt nicht ganz klar, wie ich jetzt am besten vorgehe und welche Möglichkeiten mir offen stehen.

Vielen Dank

Hallo indischcurry und

Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

(nach dem scannen auf den Button klicken und Funde löschen lassen!)

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
• In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
• Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Danke für die tipps,
aber irgendwie streiken die Links. Liegt das an meinen Browswern oder liegt da tatsächlich ein Fehler vor?

Mir zeigt Firefox nur an:

Firefox kann keine Verbindung zu dem Server unter images.malwareremoval.com aufbauen.

??

Das könnte vielleicht auch schon an der Malware liegen, versuch es mal mit Hijackthis:


Erstellung eines Hijacklog

• Hier gibt es die Anleitung -> http://www.trojaner-board.de/51130-a...ijackthis.html

ok , mit Hijack This scheints funktioniert zu haben.
Hier das Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:59:29, on 23.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\ZoneLabs\vsmon.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\wscntfy.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS.0\system32\igfxtray.exe
C:\WINDOWS.0\system32\hkcmd.exe
C:\WINDOWS.0\system32\igfxpers.exe
C:\WINDOWS.0\AGRSMMSG.exe
C:\WINDOWS.0\SOUNDMAN.EXE
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS.0\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS.0\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS.0\system32\igfxpers.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.0\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: faftwdbdydb - C:\WINDOWS.0\SYSTEM32\ijwokece.dll
O20 - Winlogon Notify: ftzofezuc - C:\WINDOWS.0\SYSTEM32\pvpvkdzg.dll
O20 - Winlogon Notify: gqzl - C:\WINDOWS.0\SYSTEM32\gbswieid.dll
O20 - Winlogon Notify: ilyqmoc - C:\WINDOWS.0\SYSTEM32\sqzdwumo.dll
O20 - Winlogon Notify: ldiqhr - C:\WINDOWS.0\SYSTEM32\zrjpptzx.dll
O20 - Winlogon Notify: nbtunfy - C:\WINDOWS.0\SYSTEM32\vmvipusr.dll
O20 - Winlogon Notify: pqyxmxkxsqf - C:\WINDOWS.0\SYSTEM32\kufqrnku.dll
O20 - Winlogon Notify: pxijctm - C:\WINDOWS.0\SYSTEM32\kdcvzozv.dll
O20 - Winlogon Notify: qsituczcb - C:\WINDOWS.0\SYSTEM32\ischywah.dll
O20 - Winlogon Notify: rdmjmtsgk - C:\WINDOWS.0\SYSTEM32\hgrnmobq.dll
O20 - Winlogon Notify: zqiehqbvk - C:\WINDOWS.0\SYSTEM32\kazdmxre.dll
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS.0\system32\ZoneLabs\vsmon.exe

--
End of file - 4643 bytes

Scheinbar hast/hattest du Windows "drüberweg" installiert, oder?!


ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Es scheint wie verhext zu sein, aber ich kann die links für combofix nicht öffnen, auch die Suche nach Alternativquellen führten nicht zum Erfolg.
Gibt es die Möglichkeit die Datei als Email Anhang zu erhalten?

Gruss Indischcurry

Schau mal bei deiner Mail-Adresse vorbei mit der du dich hier im Forum angemeldet hast!

Gruß
Sunny

Hier der Scan mit Combo Fix.


ComboFix 08-10-23.08 - XXX 2008-10-24 18:05:27.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.390 [GMT 2:00]

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
Error: Cfiles.dat

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Microsoft Common
C:\Programme\Microsoft Common\wuauclt.exe
C:\WINDOWS.0\system32\cokgbar.exe
C:\WINDOWS.0\system32\drivers\3xHybrid.sys
C:\WINDOWS.0\system32\drivers\tdssserv.sys
C:\WINDOWS.0\system32\kufqrnku.dll
C:\WINDOWS.0\system32\pvpvkdzg.dll
C:\WINDOWS.0\system32\rnpub.exe
C:\WINDOWS.0\system32\TDSSadw.dll
C:\WINDOWS.0\system32\TDSSerrors.log
C:\WINDOWS.0\system32\tdssinit.dll
C:\WINDOWS.0\system32\TDSSl.dll
C:\WINDOWS.0\system32\tdsslog.dll
C:\WINDOWS.0\system32\tdssmain.dll
C:\WINDOWS.0\system32\tdssserf.dll
C:\WINDOWS.0\system32\tdssservers.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_3xHybrid


((((((((((((((((((((((( Dateien erstellt von 2008-09-24 bis 2008-10-24 ))))))))))))))))))))))))))))))
.

2008-10-24 17:32 . 2008-10-24 17:32 <DIR> d-------- C:\Programme\CCleaner
2008-10-23 19:31 . 2008-10-23 19:31 72,433 --a------ C:\WINDOWS.0\system32\zuknpecny
2008-10-23 16:18 . 2008-10-23 16:18 <DIR> d-------- C:\Programme\Trend Micro
2008-10-23 15:45 . 2008-10-23 15:45 72,427 --a------ C:\WINDOWS.0\system32\saivh
2008-10-22 14:33 . 2008-10-22 14:33 52,320 --a------ C:\WINDOWS.0\system32\zrpsdm
2008-10-21 08:53 . 2008-10-21 08:53 52,320 --a------ C:\WINDOWS.0\system32\drghrwbqt
2008-10-20 09:56 . 2008-10-20 09:56 52,320 --a------ C:\WINDOWS.0\system32\zewwbkbweesq
2008-10-19 21:34 . 2008-10-19 21:34 52,320 --a------ C:\WINDOWS.0\system32\cnyjr
2008-10-17 14:20 . 2008-10-17 14:20 52,320 --a------ C:\WINDOWS.0\system32\mayokdlbsrqf
2008-10-16 07:28 . 2008-10-16 07:28 52,320 --a------ C:\WINDOWS.0\system32\pxzjh
2008-10-15 21:25 . 2008-10-15 21:25 52,320 --a------ C:\WINDOWS.0\system32\yjwtixzlkgf
2008-10-14 23:40 . 2008-10-14 23:40 <DIR> d-------- C:\Programme\Qtpfsgui
2008-10-14 22:31 . 2008-10-14 22:49 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\TEMP
2008-10-14 22:10 . 2008-10-14 23:27 <DIR> d-------- C:\Programme\Photos HDRI
2008-10-14 19:00 . 2008-10-14 19:00 52,320 --a------ C:\WINDOWS.0\system32\mewnslc
2008-10-13 11:35 . 2008-10-13 11:36 13,596,592 --a------ C:\Programme\sdsetup.exe
2008-10-13 11:33 . 2008-10-13 11:33 52,823 --a------ C:\WINDOWS.0\system32\iuhjhtzupdsdb
2008-10-12 10:07 . 2008-10-12 10:07 52,823 --a------ C:\WINDOWS.0\system32\hnblrjy

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-24 16:10 7,659,552 --sha-w C:\WINDOWS.0\system32\drivers\fidbox.dat
2008-10-20 07:59 --------- d-----w C:\Programme\Firefox
2008-10-14 22:21 94,748 --sha-w C:\WINDOWS.0\system32\drivers\fidbox.idx
2008-10-14 22:12 --------- d-----w C:\Programme\Avira
2008-10-12 08:06 --------- d-----w C:\Programme\Zone Labs
2008-09-02 21:08 1,394,688 ----a-w C:\WINDOWS.0\Internet Logs\xDB1.tmp
2008-08-06 14:33 22,016 ----a-w C:\WINDOWS.0\system32\prospeed_bmp2jpg.dll
2008-07-25 08:36 524,288 ----a-w C:\WINDOWS.0\system32\DivXsm.exe
2007-01-29 18:00 21,904 ----a-w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-11-02 21:46 39,800 ----a-w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2004-03-11 12:27 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS.0\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-04-02 919016]
"IgfxTray"="C:\WINDOWS.0\system32\igfxtray.exe" [2005-06-08 94208]
"HotKeysCmds"="C:\WINDOWS.0\system32\hkcmd.exe" [2005-06-08 77824]
"Persistence"="C:\WINDOWS.0\system32\igfxpers.exe" [2005-06-08 114688]
"NeroFilterCheck"="C:\WINDOWS.0\system32\NeroCheck.exe" [2001-07-09 155648]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 C:\WINDOWS.0\AGRSMMSG.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-03-24 C:\WINDOWS.0\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS.0\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\faftwdbdydb]
2008-04-14 07:52 2560 C:\WINDOWS.0\system32\ijwokece.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gqzl]
2008-04-14 07:52 2560 C:\WINDOWS.0\system32\gbswieid.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ilyqmoc]
2008-04-14 07:52 2560 C:\WINDOWS.0\system32\sqzdwumo.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ldiqhr]
2008-04-14 07:52 2560 C:\WINDOWS.0\system32\zrjpptzx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nbtunfy]
2008-04-14 07:52 2560 C:\WINDOWS.0\system32\vmvipusr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pxijctm]
2008-04-14 07:52 2560 C:\WINDOWS.0\system32\kdcvzozv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qsituczcb]
2008-04-14 07:52 2560 C:\WINDOWS.0\system32\ischywah.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rdmjmtsgk]
2008-04-14 07:52 2560 C:\WINDOWS.0\system32\hgrnmobq.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\zqiehqbvk]
2008-04-14 07:52 2560 C:\WINDOWS.0\system32\kazdmxre.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ztfth]
2008-04-14 07:52 2560 C:\WINDOWS.0\system32\caboinbt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 AdobeActiveFileMonitor;Adobe Active File Monitor;C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe [2004-10-20 98304]
R2 PhotoshopElementsDeviceConnect;Photoshop Elements Device Connect;C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe [2004-10-20 118784]
R3 NeroCd2k;NeroCd2k;C:\WINDOWS.0\system32\drivers\NeroCd2k.sys [2001-04-16 44227]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3c42f46-177d-11dc-94b5-0013d356221d}]
\Shell\AutoRun\command - C:\WINDOWS.0\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe
\Shell\Explore\command - F:\system.exe
\Shell\Open\command - F:\system.exe
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\734l9ib6.default\
FF -: plugin - C:\Programme\Adobe\Acrobat 6.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-24 18:09:21
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS.0\system32\ZoneLabs\vsmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS.0\system32\locator.exe
C:\WINDOWS.0\system32\wscntfy.exe
C:\WINDOWS.0\system32\igfxsrvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-24 18:12:13 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-24 16:12:05

Vor Suchlauf: 17 Verzeichnis(se), 56,013,156,352 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 56,014,536,704 Bytes frei

148 --- E O F --- 2008-03-02 12:55:21

hallo liebes Forum,

nachdem ich mit combofix die logfile gepostete habe, bin ich nicht wirklich schlauer. hat jemand eine idee, ob da jetzt was infiziertes vorliegt?

Danke für die Hilfe bis jetzt erstmal.

indischcurry

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS.0\system32\locator.exe
C:\WINDOWS.0\system32\caboinbt.dll
C:\Programme\sdsetup.exe
C:\WINDOWS.0\system32\prospeed_bmp2jpg.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Datei locator.exe empfangen 2008.10.26 16:38:44 (CET)
Status: Beendet
Ergebnis: 0/34 (0%)
weitere Informationen
File size: 75264 bytes
MD5...: 2a02e21867497df20b8fc95631395169
SHA1..: b0a7e2feffa2422bc37a402867fdf52bd42a4461
SHA256: d89e2d17ed4e1c727847c0e92d2df68aeb70bf0b956bd2fe024ed70a961759d2
SHA512: 1799d6d5fd698c1dedafa922da13fe51938a1661d8497e510a927e73799518e4
b6fefb714aa535362c40134735be5c9d3891ace118e7e8e75f2afd2880a73bee
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10119ff
timedatestamp.....: 0x4802515a (Sun Apr 13 18:30:50 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x119b2 0x11a00 6.33 6bd3e0d6e1ecc6cf4ead0d4e35ea30c6
.data 0x13000 0x318 0x400 2.56 af5c16d40aab8c890dae6b2e5767f27d
.rsrc 0x14000 0x3d0 0x400 3.29 db8cc69afdf3da8dd5c5394641a1cfaf

( 8 imports )
> msvcrt.dll: _XcptFilter, _exit, _c_exit, wcsstr, sprintf, wcstoul, swprintf, atol, atoi, wcschr, _cexit, _local_unwind2, rand, time, srand, _wcsicmp, _purecall, _except_handler3, wcscmp, wcslen, wcscpy, exit, __initenv, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, __dllonexit, _onexit, _controlfp, wcscat, free, malloc
> ADVAPI32.dll: RegisterServiceCtrlHandlerW, SetServiceStatus, StartServiceCtrlDispatcherW
> KERNEL32.dll: GetCurrentThreadId, QueryPerformanceCounter, ReleaseSemaphore, CreateSemaphoreW, GetComputerNameW, CreateThread, GetProcessHeap, GetLastError, ExitProcess, GetTickCount, IsBadStringPtrW, ExitThread, GetCurrentProcessId, ReadFile, CreateMailslotW, CreateFileW, WriteFile, CloseHandle, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, InitializeCriticalSection, InterlockedDecrement, InterlockedIncrement, RaiseException, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetSystemTimeAsFileTime, TerminateProcess, SetMailslotInfo, WaitForSingleObject, GetCurrentProcess
> RPCRT4.dll: RpcMgmtSetCancelTimeout, RpcStringBindingComposeW, RpcStringBindingParseW, RpcBindingFromStringBindingW, UuidFromStringW, RpcBindingFree, RpcServerListen, RpcServerUseProtseqEpW, RpcServerRegisterIf, RpcMgmtWaitServerListen, UuidToStringW, RpcStringFreeW, RpcRaiseException, RpcImpersonateClient, RpcRevertToSelf, UuidIsNil, NdrServerCall2, RpcMgmtStopServerListening, NdrClientCall2
> NETAPI32.dll: NetServerEnum, NetRegisterDomainNameChangeNotification, DsGetDcNameW, NetApiBufferFree, DsRoleGetPrimaryDomainInformation, DsRoleFreeMemory, NetGetDCName
> ACTIVEDS.dll: -, -
> adsldpc.dll: ADSIGetNextRow, ADSIGetColumn, ADSIFreeColumn, ADSISetSearchPreference, ADSIExecuteSearch, ADSICloseSearchHandle, ADSIGetObjectAttributes, ADSISetObjectAttributes, ADSICreateDSObject, ADSIOpenDSObject, ADSIDeleteDSObject, ADSICloseDSObject, ADSIGetFirstRow
> USER32.dll: wsprintfW

( 0 exports )

Datei sdsetup.exe empfangen 2008.10.26 18:15:30 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
weitere Informationen
File size: 13596592 bytes
MD5...: f40ad35dfcbfc63c4996afd88c2634c7
SHA1..: 24afb26c64e028430a5f6e92ca06db93aff3d50e
SHA256: 232a3c8de59f0b0a5ebe3b92ddcd71d8cf1254dc8f312353f97bac0d8122a7d7
SHA512: af8ed26dba2c7226858ca01aa6c6fdad84e76448a9f99c8b8fd7ab6b0c14966f
e7edaac87c6b0ea120af60af5d85166a5e67101da73ddb59fda049d536bfadca
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x409a54
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x916c 0x9200 6.56 f9c9dd3f4dceede0add0e7309253e897
DATA 0xb000 0x24c 0x400 2.73 4a56e30ca4646e6369d96abeacb0e6f0
BSS 0xc000 0xe48 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0xd000 0x950 0xa00 4.43 bb5485bf968b970e5ea81292af2acdba
.tls 0xe000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0xf000 0x18 0x200 0.20 9ba824905bf9c7922b6fc87a38b74366
.reloc 0x10000 0x8b4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x11000 0x7bb8 0x7c00 5.39 c1760a240f67992f7674f5712b22c2f8

( 8 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, WideCharToMultiByte, TlsSetValue, TlsGetValue, MultiByteToWideChar, GetModuleHandleA, GetLastError, GetCommandLineA, WriteFile, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetSystemTime, GetFileType, ExitProcess, CreateFileA, CloseHandle
> user32.dll: MessageBoxA
> oleaut32.dll: VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysAllocStringLen
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey, OpenProcessToken, LookupPrivilegeValueA
> kernel32.dll: WriteFile, VirtualQuery, VirtualProtect, VirtualFree, VirtualAlloc, Sleep, SizeofResource, SetLastError, SetFilePointer, SetErrorMode, SetEndOfFile, RemoveDirectoryA, ReadFile, LockResource, LoadResource, LoadLibraryA, IsDBCSLeadByte, GetWindowsDirectoryA, GetVersionExA, GetUserDefaultLangID, GetSystemInfo, GetSystemDefaultLCID, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesA, GetExitCodeProcess, GetEnvironmentVariableA, GetCurrentProcess, GetCommandLineA, GetACP, InterlockedExchange, FormatMessageA, FindResourceA, DeleteFileA, CreateProcessA, CreateFileA, CreateDirectoryA, CloseHandle
> user32.dll: TranslateMessage, SetWindowLongA, PeekMessageA, MsgWaitForMultipleObjects, MessageBoxA, LoadStringA, ExitWindowsEx, DispatchMessageA, DestroyWindow, CreateWindowExA, CallWindowProcA, CharPrevA
> comctl32.dll: InitCommonControls
> advapi32.dll: AdjustTokenPrivileges

( 0 exports )

Datei prospeed_bmp2jpg.dll empfangen 2008.10.26 18:21:51 (CET)
Status: Beendet
Ergebnis: 2/36 (5.56%)
weitere Informationen
File size: 22016 bytes
MD5...: efff4a341903ec194fe203ea347abb98
SHA1..: bda5379a983b6a931c8c2617a2b103da1fd2db16
SHA256: 46f2dff65264b7a7cd90b625d1a1330e2b6ae4ad2e618a54d8986d91bf1c51a5
SHA512: 1e4861217f07ecaae41d233b620413acfe9debf38b429520d931a3857e5620eb
c3f650eddc2d16636e0ba8c3d859b8a2ccf4272cb8c658424bbf5ba95af56627
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10010f30
timedatestamp.....: 0x3fe549f4 (Sun Dec 21 07:21:24 2003)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xc000 0x6000 0x5200 7.86 a293d9bf811e3e8349c096b8e4d0c5ae
UPX2 0x12000 0x1000 0x200 3.09 3bb0f186221a986dfd5212543e8dad27

( 4 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress
> CRTDLL.DLL: _iob
> GDI32.DLL: BitBlt
> USER32.DLL: GetDC

( 3 exports )
Bmp2Jpg, DLLEntryPoint, Dib2Jpg
packers (Kaspersky): UPX
packers (F-Prot): UPX




Die Datei C:windows.0\system32\caboinbt.dll hat Antivir als Trojaner deklariert und in die Quaräntaine verschoben.

hallo nochmal,

ich wollte nur nochmal jemanden um Rat fragen, ob er/sie sich meine logfile anschauen könnte und mir nen Tipp geben kann.

Eine weitere Frage hätte ich zur Quaratiäne Ordner von Antivir. Wenn da Dateinen hinverschoben werden, können die dann noch Schaden anrichten?
muss ich jede Datei in der quarantäine löschen? hab nur panik, dass irgendeine systemdatei dadrin steckt und ich das ganze syastem lahmlege.

vielen dank für die hilfe schon mal.