Combofix zeigt infizierte user32.dll - Win32.Patched?

Rattle07 · 04.11.2008, 16:01

Moin!

Auch mich hat es mal wieder erwischt - Nachdem meine ZoneAlarm schon mit einer Warnung wegen eines Trojaners (Win32.patched.dn) kam, bestätigte auch folgendes Log von Combofix mir eine infizierte user32.dll an. Was nun?

Zitat:

ComboFix 08-11-03.06 - Tim 2008-11-04 15:46:34.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.564 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Tim\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\autorun.ini
c:\windows\system32\drivers\npf.sys
c:\windows\system32\packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_NPF

((((((((((((((((((((((( Dateien erstellt von 2008-10-04 bis 2008-11-04 ))))))))))))))))))))))))))))))
.

2008-11-04 15:28 . 2008-11-04 15:28 <DIR> d-------- c:\windows\Sun
2008-11-04 15:27 . 2008-11-04 15:27 <DIR> d-------- c:\programme\Java
2008-11-04 15:27 . 2008-11-04 15:27 410,976 --a------ c:\windows\system32\deploytk.dll
2008-11-04 15:27 . 2008-11-04 15:27 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-11-04 15:16 . 2008-11-04 15:16 <DIR> d-------- c:\dokumente und einstellungen\Tim\Anwendungsdaten\Malwarebytes
2008-11-04 15:15 . 2008-11-04 15:15 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-04 15:15 . 2008-11-04 15:15 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-04 15:15 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-04 15:15 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-04 15:11 . 2004-08-03 23:00 22,016 --a------ c:\windows\system32\drivers\MSIRCOMM.sys
2008-11-04 15:11 . 2004-08-03 23:00 22,016 --a------ c:\windows\system32\dllcache\msircomm.sys
2008-11-04 15:10 . 2008-11-04 15:10 0 --a------ C:\rollback.ini
2008-11-04 15:06 . 2008-11-04 15:06 <DIR> d-------- c:\dokumente und einstellungen\Tim\Anwendungsdaten\MailFrontier
2008-11-04 14:53 . 2008-11-04 15:48 32 --ahs---- c:\windows\system32\drivers\fidbox.idx
2008-11-04 14:53 . 2008-11-04 15:48 32 --ahs---- c:\windows\system32\drivers\fidbox.dat
2008-11-04 14:51 . 2008-11-04 14:51 <DIR> d-------- c:\programme\ZoneAlarm
2008-11-04 14:51 . 2008-11-04 14:51 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-11-04 14:46 . 2008-11-04 14:46 <DIR> d-------- c:\dokumente und einstellungen\Tim\Anwendungsdaten\AdobeUM
2008-11-04 14:44 . 2008-11-04 14:44 2 --a------ c:\windows\msoffice.ini
2008-11-04 14:40 . 2008-11-04 14:40 <DIR> d-------- c:\programme\Zone Labs
2008-11-04 14:38 . 2008-11-04 14:38 <DIR> d-------- c:\windows\Internet Logs
2008-11-04 14:15 . 2007-07-30 19:19 43,352 --a------ c:\windows\system32\wups2.dll
2008-11-04 14:15 . 2007-07-30 19:18 34,136 --a------ c:\windows\system32\wucltui.dll.mui
2008-11-04 14:15 . 2007-07-30 19:20 30,040 --a------ c:\windows\system32\wuaucpl.cpl.mui
2008-11-04 14:15 . 2007-07-30 19:20 30,040 --a------ c:\windows\system32\wuapi.dll.mui
2008-11-04 14:15 . 2007-07-30 19:18 20,824 --a------ c:\windows\system32\wuaueng.dll.mui
2008-11-04 14:14 . 2008-11-04 14:14 <DIR> d---s---- c:\dokumente und einstellungen\Tim\UserData
2008-11-04 13:58 . 2008-11-04 13:58 <DIR> d-------- c:\windows\system32\LogFiles
2008-11-04 13:52 . 2007-07-12 11:58 49,904 -ra------ c:\windows\system32\drivers\BVRPMPR5.SYS
2008-11-04 13:00 . 2004-08-16 08:17 180,224 --a------ c:\windows\ADDITEM.EXE
2008-11-04 13:00 . 2006-07-17 20:30 159,821 --a------ c:\windows\EMEAPAGE.EXE
2008-11-04 13:00 . 2006-07-19 02:21 84 --a------ c:\windows\EMEAPAGE.INI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-04 11:47 --------- d-----w c:\programme\Alice Software
2008-11-04 11:47 --------- d-----w c:\dokumente und einstellungen\Tim\Anwendungsdaten\Hansenet
2008-11-04 11:15 --------- d-----w c:\programme\WinPCap
2008-11-04 11:14 21,275 ----a-w c:\windows\system32\drivers\AegisP.sys
2008-11-04 11:14 --------- d-----w c:\windows\system32\config\systemprofile\Anwendungsdaten\Intel
2008-11-04 11:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Intel
2008-11-04 11:13 --------- d-----w c:\programme\Launch Manager
2008-11-04 11:10 --------- d-----w c:\programme\WIDCOMM
2008-11-04 11:08 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
.
c:\windows\system32\user32.dll ... ist infiziert !!
578,560 2004-08-04 04:00:00 c:\windows\system32\user32.dll

------- Sigcheck -------

md5deep: c:\windows\system32\user32.dll: Permission denied
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-08-04 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 53248]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761946]
"ADMTray.exe"="c:\acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 69632]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-20 7581696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-07-20 86016]
"PCMService"="c:\program files\Acer\Acer Arcade\PCMService.exe" [2006-08-09 151552]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-08-10 352256]
"Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-05-22 3080704]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-07-20 593920]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 397312]
"ZoneAlarm Client"="c:\programme\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-04 136600]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 c:\windows\system32\bthprops.cpl]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
"nwiz"="nwiz.exe" [2006-07-20 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= c:\progra~2\Acer\ACERAR~1\Kernel\Burner\MKDMP3Enc.ACM

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk
backup=c:\windows\pss\AOL 9.0 Tray-Symbol.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-08-04 01:11 1667584 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntiMUI]
--a------ 2006-05-15 11:15 45056 c:\programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-08-29 23:21 98304 c:\programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=

R1 OsaFsLoc;OsaFsLoc;c:\windows\system32\drivers\OsaFsLoc.sys [2005-10-15 12106]
R2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2006-01-23 4096]
R2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2006-01-23 78208]
R2 int15.sys;int15.sys;c:\acer\Empowering Technology\eRecovery\int15.sys [2005-01-13 69632]
R2 JavaQuickStarterService;Java Quick Starter;c:\programme\Java\jre6\bin\jqs.exe [2008-11-04 152984]
R2 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2005-06-30 7296]
R2 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2005-01-14 4010]
R3 NdisFilt;OSA NdisFilter Protocol;c:\windows\system32\Drivers\NdisFilt.sys [2005-09-13 4392]
S3 lv321av;Logitech USB PC Camera (VC0321);c:\windows\system32\DRIVERS\lv321av.sys [2006-06-19 1097728]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-AOLDialer - c:\programme\Gemeinsame Dateien\AOLSHARE\AOLDialReg.exe

.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Tim\Anwendungsdaten\Mozilla\Firefox\Profiles\u0s1sbr0.default\
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - c:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npdeploytk.dll
FF -: plugin - c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-04 15:49:26
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\ZONELABS\vsmon.exe
c:\windows\system32\ZONELABS\avsys\ScanningProcess.exe
c:\windows\system32\ZONELABS\avsys\ScanningProcess.exe
c:\acer\Empowering Technology\admServ.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
c:\program files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\program files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\dokume~1\Tim\LOKALE~1\Temp\RtkBtMnt.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-04 15:51:36 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-04 14:51:30

Vor Suchlauf: 17 Verzeichnis(se), 67.384.508.416 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 67,419,340,800 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

199

Hoffe, ihr könnt mir helfen, auch wenn ich sonst eigentlich nicht so PC bewandert bin.

MFG Tim

Rattle07 · 04.11.2008, 19:21

Hab ich irgendwie falsch gepostet und keiner hat Rat oder warum antwortet mir keiner

?

Combofix zeigt infizierte user32.dll - Win32.Patched?

Plagegeister aller Art und deren Bekämpfung: Combofix zeigt infizierte user32.dll - Win32.Patched?

Combofix zeigt infizierte user32.dll - Win32.Patched?

Combofix zeigt infizierte user32.dll - Win32.Patched?

Ähnliche Themen: Combofix zeigt infizierte user32.dll - Win32.Patched?

04.11.2008, 19:21	#2
Rattle07	Combofix zeigt infizierte user32.dll - Win32.Patched? Hab ich irgendwie falsch gepostet und keiner hat Rat oder warum antwortet mir keiner ? __________________