| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: XP Antispyware 2009 komplett getilgt?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
27.10.2008, 20:50
| #1 |
| |  XP Antispyware 2009 komplett getilgt? Ich habe mir am Wochenende den XP Antispyware 2009 eingefangen und bin seitdem am werkeln, um das vom System zu kriegen. Ich fahre auf dem betroffenen Laptop (ein Thinkpad) Win XP SP2 mit Firefox. Ich habe bisher mit Antivir gescannt einiges erwischt, hab den CCleaner durchlaufen lassen und mit Malwarebyte's auch was gefunden und entfernt und zudem von Hand brastk.exe, karna.dat und die beep.sys vom System gelöscht und auch aus der Registry entfernt. Achja F-Secure BlackLight ist auch einmal durch und hat nichts gefunden, Spybot SnD ebensowenig. Systemwiederherstellung ist ebenfalls schon aus. Anbei das Hijackthis-Log, sowie das Malewarebyte's Log als er etwas gefunden hat. Seither ist mbam nochmals durch und hat nichts mehr gefunden. Meine Frage ist nun, muss ich das System dennoch neu aufsetzen oder gibt es noch Möglichkeiten um eventuelle Kompromitierungen zu entdecken? Folgendes ist schon behoben und wurde beim weiteren Durchlauf nicht mehr gefunden. Code:
ATTFilter Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1321
Windows 5.1.2600 Service Pack 2
27.10.2008 13:37:42
mbam-log-2008-10-27 (13-37-36).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 148464
Laufzeit: 3 hour(s), 8 minute(s), 20 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\TDSSdbjc.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSinwu.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSjiqg.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSnraw.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSoiqh.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSucvd.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSvubm.log (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSyham.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\TDSScqfs.sys (Rootkit.Agent) -> No action taken.
Code:
ATTFilter Exportierte Ereignisse:
27.10.2008 16:44 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP701\A0096264.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
27.10.2008 16:44 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP701\A0096262.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
27.10.2008 16:44 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP701\A0096261.dll'
wurde ein Virus oder unerwünschtes Programm 'BDS/TDSS.adb' [backdoor] gefunden.
Ausgeführte Aktion: Datei löschen
27.10.2008 16:44 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP701\A0096260.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Softomat.AN' [trojan]
gefunden.
Ausgeführte Aktion: Datei löschen
27.10.2008 16:44 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP701\A0096259.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
27.10.2008 16:44 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP701\A0096258.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
27.10.2008 16:44 [Guard] Malware gefunden
In der Datei 'C:\System Volume
Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP701\A0096257.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
26.10.2008 10:02 [Scanner] Malware gefunden
Die Datei 'E:\symbian\6630\drauf\ALON_MP3Player_2.0.zip'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.
26.10.2008 09:16 [Scanner] Malware gefunden
Die Datei 'C:\WINDOWS\system32\dllcache\figaro.sys'
enthielt einen Virus oder unerwünschtes Programm 'TR/Rootkit.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.
26.10.2008 09:13 [Scanner] Malware gefunden
Die Datei 'C:\WINDOWS\system32\av.dat'
enthielt einen Virus oder unerwünschtes Programm 'TR/Drop.Agent.eaq' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.
26.10.2008 08:49 [Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP700\A0096237.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.FakeAler.BB' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.
26.10.2008 08:49 [Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP700\A0095234.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.FakeAler.BB' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.
26.10.2008 08:49 [Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP700\A0095233.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.FakeAler.BB' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.
26.10.2008 08:49 [Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP700\A0095228.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.FakeAler.BB' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.
26.10.2008 08:49 [Scanner] Malware gefunden
Die Datei 'C:\System Volume
Information\_restore{DAAD8284-5896-4B40-A753-8454BDC2E5A5}\RP700\A0095227.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.FakeAler.BB' [trojan].
Durchgeführte Aktion(en):
TR/Dldr.FakeAler.BB:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\INTERNET
EXPLORER\MAIN]:<Default_Search_URL>=sz:google.com/ie>=SZ:http://www.microsoft.co
m/isapi/redir.dll?prd=ie&ar=iesearch.
TR/Dldr.FakeAler.BB:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\INTERNET
EXPLORER\MAIN]:<Search
Page>=sz:google.com>=SZ:http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesea
rch.
TR/Dldr.FakeAler.BB:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\INTERNET
EXPLORER\MAIN]:<Start Page>=sz:google.com>=SZ:about:blank.
Die Datei wurde gelöscht.
26.10.2008 01:26 [Scanner] Malware gefunden
Die Datei 'C:\IBMWORK\3GHXQJA_\RRPC\superinstall.EXE'
enthielt einen Virus oder unerwünschtes Programm 'BDS/Backdoor.Gen' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4973abae.qua'
verschoben!
26.10.2008 01:22 [Scanner] Malware gefunden
Die Datei 'C:\IBMTOOLS\APPS\RRPC\RRPC\superinstall.EXE'
enthielt einen Virus oder unerwünschtes Programm 'BDS/Backdoor.Gen' [backdoor].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4973aa98.qua'
verschoben!
26.10.2008 01:20 [Scanner] Malware gefunden
Die Datei 'C:\IBMTOOLS\APPS\ACCSUPT\as_setup.ex2'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Agent.agfz' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4962aa40.qua'
verschoben!
26.10.2008 00:42 [Scanner] Malware gefunden
Die Datei 'C:\Andre\Tools\drauf\ACDSee 6 + Powerpack + Plugins + Keygen +
Serial.rar'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.31856.A' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4947a127.qua'
verschoben!
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:57:42, on 27.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\TpShocks.exe C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe C:\Programme\Lenovo\HOTKEY\TPONSCR.exe C:\PROGRA~2\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\Programme\Lenovo\Zoom\TpScrex.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\PROGRA~2\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe C:\WINDOWS\system32\SKDAEMON.EXE C:\Programme\Lenovo\UltraNav Keyboard\SkdUNav.exe C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe C:\Program Files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe C:\Programme\iTunes\iTunesHelper.exe C:\PROGRA~2\ThinkPad\UTILIT~1\NPDTray.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\StatBar\StatBar.exe C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\phonostar\ps_timer.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2\RpcAgentSrv.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe C:\WINDOWS\system32\TpKmpSVC.exe C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe C:\Program Files\Common Files\Lenovo\Scheduler\tvtsched.exe C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe c:\programme\lenovo\system update\suservice.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe E:\iPhone\rootkit\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TpShocks] TpShocks.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~2\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [UC_Start] C:\IBMTools\Updater\ucstartup.exe O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~2\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [\\***\EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\DOCUME~1\Jeffrey\LOCALS~1\Temp\E_S21B.tmp" /EF "HKLM" O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE O4 - HKLM\..\Run: [UltraNav Keyboard] C:\Programme\Lenovo\UltraNav Keyboard\SkdUNav.exe O4 - HKLM\..\Run: [\andre\EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\DOCUME~1\Jeffrey\LOCALS~1\Temp\E_S21B.tmp" /EF "HKLM" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Program Files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [NPDTRAY] C:\PROGRA~2\ThinkPad\UTILIT~1\NPDTray.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [StatBar] C:\Programme\StatBar\StatBar.exe O4 - HKCU\..\Run: [TPKMAPMN] C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [JAVA_IBM] Java (IBM) O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing) O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: JiWire WiFi Monitoring (JiWireWireless) - JiWire, Inc. - c:\documents and settings\jeffrey\local settings\application data\yahoo\widget engine\jiwire_wi-fi_finder.widget\jiwirewifi.widget\contents\resources\jiwire.win\jiwirewifiwin.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2\RpcAgentSrv.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Program Files\Common Files\Lenovo\Scheduler\tvtsched.exe -- End of file - 12394 bytes Code:
ATTFilter SmitFraudFix v2.367
Scan done at 20:51:42,94, 27.10.2008
Run from E:\iPhone\rootkit\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Intel(R) PRO/1000 MT Mobile Connection - Packet Scheduler Miniport
DNS Server Search Order: 192.168.178.1
Description: Intel(R) PRO/1000 MT Mobile Connection - Packet Scheduler Miniport
DNS Server Search Order: 4.2.2.4
DNS Server Search Order: 4.2.2.5
DNS Server Search Order: 4.2.2.6
Description: Intel(R) PRO/1000 MT Mobile Connection - Packet Scheduler Miniport
DNS Server Search Order: 192.168.178.1
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
Geändert von Grummel (27.10.2008 um 21:00 Uhr) |
|
27.10.2008, 21:00
| #2 | |
  | XP Antispyware 2009 komplett getilgt? Hallo,
__________________Zitat:
Führe bitte folgendes aus: ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ |
|
27.10.2008, 21:08
| #3 |
| | XP Antispyware 2009 komplett getilgt? soll ich das im abgesicherten Modus machen oder im Normalzustand?
__________________Systemzustand: Bin noch nicht dazu gekommen, SP3 zu installieren und den IE nutze ich nicht mehr (Firefox) |
|
27.10.2008, 22:05
| #4 |
| | XP Antispyware 2009 komplett getilgt? Anbei das Combofix-Log. Er hat am Anfang eine Rootkitpräsenz gefunden, rebootet und danach weitergemacht. Code:
ATTFilter ComboFix 08-10-27.01 - Grummel 2008-10-27 21:28:41.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.1105 [GMT 1:00]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Programme\INSTALL.LOG
C:\WINDOWS\system32\dao350.dll
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\wpcap.dll
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
-------\Legacy_TDSSSERV.SYS)
-------\Service_NPF
-------\Service_TDSSserv.sys
-------\Service_TDSSserv.sys)
((((((((((((((((((((((((( Files Created from 2008-09-27 to 2008-10-27 )))))))))))))))))))))))))))))))
.
2008-10-27 21:15 . 2008-10-27 21:15 <DIR> d-------- C:\Programme\CCleaner
2008-10-27 20:46 . 2008-10-27 20:51 5,132 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-26 10:21 . 2008-10-27 13:37 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-26 10:21 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-26 10:21 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-26 09:03 . 2008-10-26 09:03 685,056 --a------ C:\WINDOWS\is-8FQIO.exe
2008-10-26 09:03 . 2008-10-26 09:03 12,782 --a------ C:\WINDOWS\is-8FQIO.msg
2008-10-26 09:03 . 2008-10-26 09:03 365 --a------ C:\WINDOWS\is-8FQIO.lst
2008-10-25 23:03 . 2008-10-25 23:03 <DIR> d-------- C:\Programme\Avira
2008-10-25 21:39 . 2008-10-25 21:39 <DIR> d-------- C:\Documents and Settings\Jeffrey\Application Data\Malwarebytes
2008-10-25 21:39 . 2008-10-25 21:39 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-25 19:54 . 2008-10-25 19:54 18,745 --a------ C:\WINDOWS\ebyxul.db
2008-10-25 19:54 . 2008-10-25 19:54 16,396 --a------ C:\WINDOWS\system32\abumup._dl
2008-10-25 19:54 . 2008-10-25 19:54 13,887 --a------ C:\WINDOWS\system32\abivin.scr
2008-10-25 19:54 . 2008-10-25 19:54 13,651 --a------ C:\WINDOWS\system32\ixopidadeg.com
2008-10-25 19:54 . 2008-10-25 19:54 12,916 --a------ C:\WINDOWS\dasygipov.dll
2008-10-25 19:54 . 2008-10-25 19:54 12,227 --a------ C:\WINDOWS\system32\ajure.bat
2008-10-25 19:54 . 2008-10-25 19:54 12,182 --a------ C:\WINDOWS\system32\gykahyxu.pif
2008-10-25 19:54 . 2008-10-25 19:54 11,496 --a------ C:\WINDOWS\system32\azyficyly.dat
2008-10-25 19:54 . 2008-10-25 19:54 10,907 --a------ C:\WINDOWS\system32\ubexaqupux.reg
2008-10-25 19:39 . 2008-10-25 19:39 164 --a------ C:\WINDOWS\system32\TDSSlolc.dat
2008-10-17 16:41 . 2008-10-17 16:41 <DIR> d-------- C:\Programme\DivX
2008-10-07 10:45 . 2008-10-07 10:51 <DIR> d-------- C:\Programme\ICQ6
2008-09-30 18:40 . 2008-09-30 18:40 <DIR> d-------- C:\Programme\iPod
2008-09-30 18:39 . 2008-09-30 18:40 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-09-30 18:37 . 2008-09-30 18:37 <DIR> d-------- C:\Programme\Bonjour
2008-09-30 18:29 . 2008-09-05 21:16 1,900,544 --a------ C:\WINDOWS\system32\usbaaplrc.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-27 20:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-10-25 22:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avira
2008-10-25 20:00 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-10-25 14:02 7,892 ----a-w C:\Programme\mplayerc.ini
2008-10-09 14:37 --------- d-----w C:\Documents and Settings\Jeffrey\Application Data\Skype
2008-10-07 09:51 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-10-07 09:51 --------- d-----w C:\Documents and Settings\Jeffrey\Application Data\ICQ
2008-10-07 09:49 --------- d-----w C:\Programme\ICQLite
2008-09-30 17:40 --------- d-----w C:\Programme\iTunes
2008-09-30 17:36 --------- d-----w C:\Programme\QuickTime
2008-09-30 17:35 --------- d-----w C:\Program Files\Common Files\Apple
2008-09-30 17:32 --------- d-----w C:\Programme\Apple Software Update
2008-09-05 20:16 36,864 ----a-w C:\WINDOWS\system32\drivers\usbaapl.sys
2008-08-29 16:47 --------- d-----w C:\Programme\Lenovo
2008-08-29 16:46 --------- d-----w C:\Program Files\Common Files\Lenovo
2008-08-29 14:15 --------- d-----w C:\Documents and Settings\LocalService\Application Data\Intel
2008-08-29 14:15 --------- d-----w C:\Documents and Settings\Jeffrey\Application Data\Intel
2008-08-29 14:14 --------- d-----w C:\Programme\JiWire
2008-08-29 14:07 21,393 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2008-08-29 14:07 21,393 ----a-w C:\WINDOWS\AegisP.sys
2008-08-29 14:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Intel
2008-08-29 14:05 --------- d-----w C:\Programme\Intel
2008-08-28 17:29 --------- d-----w C:\Documents and Settings\LocalService\Application Data\Avaya
2008-08-28 17:28 --------- d-----w C:\Documents and Settings\Jeffrey\Application Data\Avaya
2008-08-28 10:04 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-07-24 15:23 62,672 ----a-w C:\Documents and Settings\Jeffrey\Application Data\GDIPFONTCACHEV1.DAT
2006-05-25 09:34 24,192 ----a-w C:\Documents and Settings\Jeffrey\usbsermptxp.sys
2006-05-25 09:34 22,768 ----a-w C:\Documents and Settings\Jeffrey\usbsermpt.sys
2004-03-28 17:46 1,340,416 ----a-w C:\Programme\mplayerc.exe
2006-01-30 18:39 8,192 -csha-w C:\WINDOWS\o2cLicStore.bin
2005-06-22 05:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StatBar"="C:\Programme\StatBar\StatBar.exe" [2003-07-25 335872]
"TPKMAPMN"="C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe" [2003-07-11 32768]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-08-28 110592]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-08-28 512000]
"TPHOTKEY"="C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe" [2008-03-24 68464]
"BMMLREF"="C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE" [2003-07-11 20480]
"TPKMAPHELPER"="C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe" [2003-09-02 897024]
"EZEJMNAP"="C:\PROGRA~2\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2008-06-05 242976]
"UC_Start"="C:\IBMTools\Updater\ucstartup.exe" [2003-03-18 32768]
"BMMGAG"="C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2003-07-11 94208]
"BootSkin Startup Jobs"="C:\Programme\BootSkin\BootSkin.exe" [2004-04-26 270336]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"PCSuiteTrayApplication"="C:\PROGRA~2\Nokia\NOKIAP~1\LAUNCH~1.EXE" [2006-06-15 229376]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"\\andre\EPSON Stylus DX5000 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE" [2006-09-22 139264]
"ACWLIcon"="C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2008-07-04 143360]
"UltraNav Keyboard"="C:\Programme\Lenovo\UltraNav Keyboard\SkdUNav.exe" [2007-02-09 258048]
"\andre\EPSON Stylus DX5000 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE" [2006-09-22 139264]
"TVT Scheduler Proxy"="C:\Program Files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"AppleSyncNotifier"="C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-09-08 289576]
"NPDTRAY"="C:\PROGRA~2\ThinkPad\UTILIT~1\NPDTray.exe" [2007-03-09 221184]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"TpShocks"="TpShocks.exe" [2003-09-04 C:\WINDOWS\system32\TpShocks.exe]
"TP4EX"="tp4ex.exe" [2002-09-04 C:\WINDOWS\system32\TP4EX.exe]
"Hot Key Kbd Daemon"="SKDAEMON.EXE" [2003-10-11 C:\WINDOWS\system32\SKDAEMON.EXE]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 C:\WINDOWS\system32\bthprops.cpl]
C:\Documents and Settings\Jeffrey\Start Menu\Programs\Startup\
Registration-InstantCopy.lnk - C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe [2002-09-26 245760]
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Adobe Acrobat - Schnellstart.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe [2006-09-28 25214]
Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-07-29 110592]
VPN Client.lnk - C:\WINDOWS\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2007-10-10 6144]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoEncryptOnMove"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonuiX.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2006-09-06 15:37 34344 C:\Programme\Lenovo\HOTKEY\notifyf2.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2008-03-17 15:02 34080 C:\Programme\Lenovo\HOTKEY\tphklock.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify]
2008-07-04 23:57 32768 C:\Programme\ThinkPad\ConnectUtilities\ACNotify.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm
"vidc.i420"= i420vfw.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli ACGina
[HKLM\~\startupfolder\C:^Documents and Settings^Jeffrey^Start Menu^Programs^Startup^Registration-InstantCopy.lnk]
path=C:\Documents and Settings\Jeffrey\Start Menu\Programs\Startup\Registration-InstantCopy.lnk
backup=C:\WINDOWS\pss\Registration-InstantCopy.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QCTray]
--a------ 2004-03-12 12:10 663552 C:\PROGRA~1\ThinkPad\CONNEC~1\QCTRAY.EXE
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\System32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ATIPTA"=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
"ATIModeChange"=Ati2mdxx.exe
"ibmmessages"=C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
"AGRSMMSG"=AGRSMMSG.exe
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"S3TRAY2"=S3Tray2.exe
"SSC_UserPrompt"=C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
"LogonStudio"="C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2\\RpcAgentSrv.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2\\WNt500x86\\RpcSandraSrv.exe"=
"C:\\Programme\\mIRC\\mirc.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
"C:\\Programme\\TightVNC\\WinVNC.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R0 dcpp2k;dcpp2k;C:\WINDOWS\system32\drivers\dcpp2k.sys [2003-03-27 66686]
R0 Shockprf;Shockprf;C:\WINDOWS\system32\drivers\Shockprf.sys [2003-09-11 52136]
R0 VOBID;VOBID;C:\WINDOWS\system32\DRIVERS\vobid.sys [2003-08-01 29239]
R1 ANC;ANC;C:\WINDOWS\system32\drivers\ANC.SYS [2008-07-01 11520]
R1 IBMTPCHK;IBMTPCHK;C:\WINDOWS\system32\Drivers\IBMBLDID.sys [2008-07-01 4224]
R1 TPPWR;TPPWR;C:\WINDOWS\system32\drivers\Tppwr.sys [2003-07-11 15360]
R2 SandraAgentSrv;SiSoftware Deployment Agent Service;C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2\RpcAgentSrv.exe [2008-04-07 98488]
R2 ShockMgr;ShockMgr;C:\WINDOWS\system32\drivers\ShockMgr.sys [2003-07-24 4225]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
S2 JiWireWireless;JiWire WiFi Monitoring;c:\documents and settings\jeffrey\local settings\application data\yahoo\widget engine\jiwire_wi-fi_finder.widget\jiwirewifi.widget\contents\resources\jiwire.win\jiwirewifiwin.exe [2006-02-06 53248]
S3 DJCS;DJCS;C:\DOCUME~1\Jeffrey\LOCALS~1\Temp\DJCS.exe [ ]
S3 PAC7311;VGA SoC PC-Camera;C:\WINDOWS\system32\DRIVERS\PA707UCM.SYS [2005-10-18 154752]
S3 PCX504;Cisco Systems Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\PCX504.sys [2004-05-04 119296]
S3 QCNDISIF;QCNDISIF;C:\WINDOWS\system32\drivers\qcndisif.SYS [2004-03-12 12288]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder
2008-10-17 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 16:46]
2008-10-27 C:\WINDOWS\Tasks\BMMTask.job
- C:\PROGRA~1\ThinkPad\UTILIT~1\BMMTASK.EXE [2003-07-11 10:34]
2005-10-12 C:\WINDOWS\Tasks\Symantec NetDetect.job
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE [2005-01-27 14:39]
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Jeffrey\Application Data\Mozilla\Firefox\Profiles\l3r0jxdl.Standard-Benutzer\
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-27 21:39:18
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\PAStiSvc.exe
C:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe
C:\WINDOWS\system32\TpKmpSvc.exe
C:\Program Files\Common Files\Lenovo\Scheduler\tvtsched.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Programme\Lenovo\System Update\SUService.exe
C:\Programme\Lenovo\HOTKEY\TPONSCR.exe
C:\Programme\Lenovo\ZOOM\TpScrex.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
.
**************************************************************************
.
Completion time: 2008-10-27 21:58:21 - machine was rebooted [Grummel]
ComboFix-quarantined-files.txt 2008-10-27 20:58:13
Pre-Run: 4,440,637,440 bytes free
Post-Run: 4,377,378,816 bytes free
254 --- E O F --- 2008-10-25 22:32:31
|
|
27.10.2008, 22:09
| #5 |
| | XP Antispyware 2009 komplett getilgt? Den Internet Explorer solltest du trotzdem immer aktuell halten, da er ein Teil des Systems ist. TeaTimer schadet mehr, als man denkt, den am besten komplett deinstallieren. Die nächsten zwei Schritte: 1.) Combofix Deinstallieren Klick auf Start -> Ausführen -> eintippen combofix /U  Damit ist Combofix und alle weiteren Programme entfernt wurden. 2.) SDFix anwenden:
Eine Frage: Benötigst du Bonjour?
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
27.10.2008, 23:36
| #6 |
| | XP Antispyware 2009 komplett getilgt? Bonjour.. Gute Frage. Ich kann nicht wirklich ausschließen, ob mein iPhone mit entsprechenden Apps über Bonjour kommuniziert. Daher lass ichs erstmal laufen. Anbei das SDFix-Log und das aktuelle Hijackthis-Log. Code:
ATTFilter SDFix: Version 1.238
Run by Grummel on 27.10.2008 at 23:03
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
Trojan Files Found:
C:\WINDOWS\SYSTEM32\TDSSLOLC.DAT - Deleted
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-27 23:19:58
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd104f24]
"00174bd2b8e4"=hex:86,72,1c,1f,1d,7d,be,15,1a,e1,2a,d7,b3,14,f6,ef
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\0009dd104f24]
"00174bd2b8e4"=hex:86,72,1c,1f,1d,7d,be,15,1a,e1,2a,d7,b3,14,f6,ef
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120%"
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2\\RpcAgentSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2\\RpcAgentSrv.exe:*:Enabled:SiSoftware Deployment Agent Service"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2\\WNt500x86\\RpcSandraSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2\\WNt500x86\\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service"
"C:\\Programme\\mIRC\\mirc.exe"="C:\\Programme\\mIRC\\mirc.exe:*:Enabled:mIRC"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"="C:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\\Programme\\TightVNC\\WinVNC.exe"="C:\\Programme\\TightVNC\\WinVNC.exe:*:Enabled:TightVNC Win32 Server"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
Remaining Files :
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes :
Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Programme\messenger\msmsgs.exe"
Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Programme\Spybot - Search & Destroy\Copy of SpybotSD.exe"
Thu 14 Aug 2008 1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Sun 26 Jun 2005 616,448 ..SHR --- "C:\Programme\SUPER\cygwin1.dll"
Tue 21 Jun 2005 45,568 ..SHR --- "C:\Programme\SUPER\cygz.dll"
Fri 14 Sep 2007 72,704 ..SHR --- "C:\Programme\SUPER\Setup.exe"
Fri 27 Oct 2006 16,896 A.SHR --- "C:\Programme\SUPER\_Setup.dll"
Wed 22 Jun 2005 45,568 A.SHR --- "C:\WINDOWS\system32\cygz.dll"
Wed 3 May 2006 163,328 ..SHR --- "C:\WINDOWS\system32\flvDX.dll"
Wed 21 Feb 2007 31,232 ..SHR --- "C:\WINDOWS\system32\msfDX.dll"
Sat 21 Jun 2003 377,344 A..H. --- "C:\Programme\IsoBuster\Help\AHlp.exe"
Tue 4 Jun 2002 84,992 ...HR --- "C:\Programme\SUPER\mencoder\14_43260.dll"
Tue 4 Jun 2002 44,032 ...HR --- "C:\Programme\SUPER\mencoder\28_83260.dll"
Tue 10 Dec 2002 73,766 ...HR --- "C:\Programme\SUPER\mencoder\atrc3260.dll"
Tue 10 Dec 2002 65,575 ...HR --- "C:\Programme\SUPER\mencoder\cook3260.dll"
Sun 9 Jun 2002 36,864 ...HR --- "C:\Programme\SUPER\mencoder\ddnt3260.dll"
Tue 4 Jun 2002 20,480 ...HR --- "C:\Programme\SUPER\mencoder\dnet3260.dll"
Tue 10 Dec 2002 102,437 ...HR --- "C:\Programme\SUPER\mencoder\drv13260.dll"
Tue 10 Dec 2002 176,165 ...HR --- "C:\Programme\SUPER\mencoder\drv23260.dll"
Tue 10 Dec 2002 208,935 ...HR --- "C:\Programme\SUPER\mencoder\drv33260.dll"
Tue 10 Dec 2002 217,127 ...HR --- "C:\Programme\SUPER\mencoder\drv43260.dll"
Sun 9 Jun 2002 40,448 ...HR --- "C:\Programme\SUPER\mencoder\dspr3260.dll"
Sat 3 Nov 2001 225,280 ...HR --- "C:\Programme\SUPER\mencoder\ivvideo.dll"
Tue 10 Apr 2001 225,280 ...HR --- "C:\Programme\SUPER\mencoder\qtmlClient.dll"
Fri 20 Feb 2004 232,960 ...HR --- "C:\Programme\SUPER\mencoder\raac.dll"
Sun 9 Jun 2002 525,824 ...HR --- "C:\Programme\SUPER\mencoder\rnco3260.dll"
Tue 10 Dec 2002 245,805 ...HR --- "C:\Programme\SUPER\mencoder\rnlt3260.dll"
Tue 10 Dec 2002 45,093 ...HR --- "C:\Programme\SUPER\mencoder\rv103260.dll"
Tue 10 Dec 2002 98,341 ...HR --- "C:\Programme\SUPER\mencoder\rv203260.dll"
Tue 10 Dec 2002 94,247 ...HR --- "C:\Programme\SUPER\mencoder\rv303260.dll"
Tue 10 Dec 2002 90,151 ...HR --- "C:\Programme\SUPER\mencoder\rv403260.dll"
Tue 10 Dec 2002 102,439 ...HR --- "C:\Programme\SUPER\mencoder\sipr3260.dll"
Sun 9 Jun 2002 49,152 ...HR --- "C:\Programme\SUPER\mencoder\tokr3260.dll"
Finished!
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:31:00, on 27.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2\RpcAgentSrv.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe C:\WINDOWS\system32\TpKmpSVC.exe C:\Program Files\Common Files\Lenovo\Scheduler\tvtsched.exe C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\TpShocks.exe C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe C:\Programme\Lenovo\HOTKEY\TPONSCR.exe C:\PROGRA~2\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\Programme\Lenovo\Zoom\TpScrex.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\PROGRA~2\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe C:\WINDOWS\system32\SKDAEMON.EXE C:\Programme\Lenovo\UltraNav Keyboard\SkdUNav.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe C:\Program Files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~2\ThinkPad\UTILIT~1\NPDTray.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\StatBar\StatBar.exe C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mozilla Firefox\firefox.exe E:\iPhone\rootkit\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TpShocks] TpShocks.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\Programme\Lenovo\HOTKEY\TPOSDSVC.exe O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~2\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [UC_Start] C:\IBMTools\Updater\ucstartup.exe O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~2\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [\\andre\EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\DOCUME~1\***\LOCALS~1\Temp\E_S21B.tmp" /EF "HKLM" O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE O4 - HKLM\..\Run: [UltraNav Keyboard] C:\Programme\Lenovo\UltraNav Keyboard\SkdUNav.exe O4 - HKLM\..\Run: [\andre\EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\DOCUME~1\***\LOCALS~1\Temp\E_S21B.tmp" /EF "HKLM" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Program Files\Common Files\Lenovo\Scheduler\scheduler_proxy.exe O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [NPDTRAY] C:\PROGRA~2\ThinkPad\UTILIT~1\NPDTray.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [StatBar] C:\Programme\StatBar\StatBar.exe O4 - HKCU\..\Run: [TPKMAPMN] C:\Program Files\ThinkPad\Utilities\TpKmapMn.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [JAVA_IBM] Java (IBM) O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\Yinsthelper.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing) O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: DJCS - Unknown owner - C:\DOCUME~1\***\LOCALS~1\Temp\DJCS.exe (file missing) O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: JiWire WiFi Monitoring (JiWireWireless) - JiWire, Inc. - c:\documents and settings\***\local settings\application data\yahoo\widget engine\jiwire_wi-fi_finder.widget\jiwirewifi.widget\contents\resources\jiwire.win\jiwirewifiwin.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2\RpcAgentSrv.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\programme\lenovo\system update\suservice.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Program Files\Common Files\Lenovo\Scheduler\tvtsched.exe -- End of file - 12280 bytes |
|
27.10.2008, 23:42
| #7 |
| | XP Antispyware 2009 komplett getilgt? Sieht gut aus.  Update dein System noch (SP3 und IE7) und führe den letzten Schritt noch aus, dann bin ich zufrieden.  Mit HijackThis fixen:
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
27.10.2008, 23:46
| #8 |
| | XP Antispyware 2009 komplett getilgt? Danke erstmal. Die Updates werd ich morgen rüberprügeln. Und du meinst, dass sich soweit erstmal kein BDS o.ä. mehr versteckt? Bzw. gibts noch irgendwas, dass ich noch machen könnte? |
|
27.10.2008, 23:49
| #9 |
| | XP Antispyware 2009 komplett getilgt? Backdoor Server und Rogue Software kannst du klar trennen. Letzteres war bei dir der Fall. Das Wichtigste ist, das du dein System dann updatest und auch up to date haltest (gilt auch für den IE!). Auch wichtig ist, das jede Software aktuell gehalten wird. Dies kannst du bei Secunia überprüfen.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
27.10.2008, 23:52
| #10 |
| | XP Antispyware 2009 komplett getilgt? hm najut. mir is halt nur n bissl unbehaglich, weil ich auch online-banking etc. mit diesem system mache. |
|
28.10.2008, 00:00
| #11 |
| | XP Antispyware 2009 komplett getilgt? Das wäre es mir sowieso permanent, da ich eh nicht der große Freund vom Online Banking bin.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
29.10.2008, 11:05
| #12 |
| | XP Antispyware 2009 komplett getilgt? Hier noch das Log vom RootkitRevealer für alle Fälle. Könnte sich das mal jemand mit Ahnung ansehen, denn das übersteigt mein Wissen doch. Code:
ATTFilter HKU\.DEFAULT\Control Panel\International 10/27/2008 9:58 PM 0 bytes Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo 10/27/2008 9:58 PM 0 bytes Security mismatch.
HKU\S-1-5-21-3451850684-3687613942-1845728339-1005\Control Panel\International 10/27/2008 9:58 PM 0 bytes Security mismatch.
HKU\S-1-5-21-3451850684-3687613942-1845728339-1005\Control Panel\International\Geo 10/27/2008 9:58 PM 0 bytes Security mismatch.
HKU\S-1-5-18\Control Panel\International 10/27/2008 9:58 PM 0 bytes Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo 10/27/2008 9:58 PM 0 bytes Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC* 2/20/2003 6:30 PM 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 2/20/2003 6:30 PM 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 7/1/2005 9:05 AM 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 7/1/2005 9:05 AM 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 7/1/2005 9:05 AM 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 7/1/2005 9:05 AM 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 7/1/2005 9:05 AM 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 7/1/2005 9:05 AM 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 7/1/2005 9:05 AM 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 7/1/2005 9:05 AM 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 7/1/2005 9:05 AM 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 7/1/2005 9:05 AM 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 7/1/2005 9:05 AM 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 7/1/2005 9:05 AM 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 3/5/2007 9:41 AM 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 10/28/2008 1:23 PM 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 3/5/2007 9:43 AM 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet003\Services\a347scsi\Config\jdgg40 3/27/2007 1:26 PM 0 bytes Hidden from Windows API.
|
|
31.10.2008, 12:59
| #13 |
| | XP Antispyware 2009 komplett getilgt? Ist sauber.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
| Themen zu XP Antispyware 2009 komplett getilgt? |
| 'tr/dropper.gen', analysis, antivir, antivirus, attention, avg, avira, backdoor, bds/backdoor.gen, bonjour, ellung, excel, f-secure, frage, hijack, installation, internet, internet explorer, keygen, konvertieren, launch, lenovo, logfile, malwarebytes' anti-malware, monitor, neu aufsetzen, pdf-datei, programm, registrierungsschlüssel, registry, rootkit.agent, rundll, security, server, software, suchlauf, symantec, system, thinkvantage registry monitor service, tr/drop.softomat.an, trojan.tdss, virus, windows xp, xp antispyware |
Linear-Darstellung
