Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code: Alles auswählenAufklappen

ATTFilter

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"midi1"=-
"aux2"=-
"wave1"=-
"mixer1"=-
"midi2"=-
"wave2"=-
"mixer2"=-
"aux1"=-

Collect::
c:\windows\system32\c_060380.nls
c:\dokume~1\ROMANS~1\LOKALE~1\Temp\cdiskdun.sys

Rootkit::
c:\windows\system32\c_060380.nls
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Also alles gemacht, beim Neustart kamen keine neuen Fund-Nachrichten *freu*
ich Danke dir über alles!!!
und noch die log:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-11-27.03 - ### 2008-11-27 22:10:18.4 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1348 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Roman Stich\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Roman Stich\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\c_060380.nls

.
(((((((((((((((((((((((   Dateien erstellt von 2008-10-27 bis 2008-11-27  ))))))))))))))))))))))))))))))
.

2008-11-27 20:14 . 2008-11-27 20:14	<DIR>	d--------	c:\programme\CCleaner
2008-11-26 22:05 . 2008-11-26 22:05	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-11-26 22:05 . 2008-11-26 22:05	<DIR>	d--------	c:\dokumente und einstellungen\Roman Stich\Anwendungsdaten\Malwarebytes
2008-11-26 22:05 . 2008-11-26 22:05	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-26 22:05 . 2008-10-22 16:10	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-26 22:05 . 2008-10-22 16:10	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-11-26 20:19 . 2008-11-26 20:19	410,976	--a------	c:\windows\system32\deploytk.dll
2008-11-22 21:35 . 2004-08-03 23:57	221,184	--a------	c:\windows\system32\wmpns.dll
2008-11-22 21:14 . 2008-11-22 21:14	<DIR>	d--------	c:\windows\system32\de-de
2008-11-22 21:13 . 2008-11-22 21:13	<DIR>	d--------	c:\windows\system32\de
2008-11-22 21:13 . 2008-11-22 21:13	<DIR>	d--------	c:\windows\system32\bits
2008-11-22 21:13 . 2008-11-22 21:14	<DIR>	d--------	c:\windows\l2schemas
2008-11-17 21:18 . 2008-11-17 21:18	<DIR>	d--------	c:\programme\Trend Micro
2008-11-17 20:53 . 2008-11-17 21:08	<DIR>	d-a------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-17 20:50 . 2008-11-17 20:50	250	--a------	c:\windows\gmer.ini
2008-11-13 21:44 . 2008-11-13 21:44	54,156	--ah-----	c:\windows\QTFont.qfn
2008-11-13 21:44 . 2008-11-13 21:44	1,409	--a------	c:\windows\QTFont.for
2008-11-11 20:18 . 2008-10-24 12:21	455,296	-----c---	c:\windows\system32\dllcache\mrxsmb.sys
2008-11-06 18:44 . 2008-11-06 18:44	<DIR>	d--------	c:\programme\DivX
2008-11-06 18:37 . 2008-11-06 18:37	<DIR>	d--h-----	c:\windows\PIF

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-26 19:19	---------	d-----w	c:\programme\Java
2008-11-18 16:24	---------	d-----w	c:\programme\ICQToolbar
2008-11-17 19:49	---------	d-----w	c:\dokumente und einstellungen\###\Anwendungsdaten\ICQ
2008-11-13 20:44	---------	d-----w	c:\programme\QuickTime
2008-10-26 19:33	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrackMania
2008-10-24 11:21	455,296	----a-w	c:\windows\system32\drivers\mrxsmb.sys
2008-10-20 14:57	---------	d-----w	c:\programme\Google
2008-10-20 14:53	---------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-10-16 13:13	202,776	----a-w	c:\windows\system32\wuweb.dll
2008-10-16 13:13	1,809,944	----a-w	c:\windows\system32\wuaueng.dll
2008-10-16 13:12	561,688	----a-w	c:\windows\system32\wuapi.dll
2008-10-16 13:12	323,608	----a-w	c:\windows\system32\wucltui.dll
2008-10-16 13:09	92,696	----a-w	c:\windows\system32\cdm.dll
2008-10-16 13:09	51,224	----a-w	c:\windows\system32\wuauclt.exe
2008-10-16 13:09	43,544	----a-w	c:\windows\system32\wups2.dll
2008-10-16 13:08	34,328	----a-w	c:\windows\system32\wups.dll
2008-10-16 13:06	268,648	----a-w	c:\windows\system32\mucltui.dll
2008-10-16 13:06	208,744	----a-w	c:\windows\system32\muweb.dll
2008-09-30 15:43	1,286,152	----a-w	c:\windows\system32\msxml4.dll
2008-09-28 16:24	2,560	----a-w	c:\windows\_MSRSTRT.EXE
2008-09-28 16:19	---------	d-----w	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-15 15:24	1,846,528	----a-w	c:\windows\system32\win32k.sys
2008-09-10 01:13	1,307,648	------w	c:\windows\system32\msxml6.dll
2008-09-04 17:15	1,106,944	----a-w	c:\windows\system32\msxml3.dll
2007-09-25 17:53	17,820,592	----a-w	c:\programme\antivir_workstation_win7u_de_h.exe
2004-10-01 13:00	40,960	----a-w	c:\programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((((   snapshot_2008-11-27_20.03.26,59   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-11-27 21:12:30	16,384	----atw	c:\windows\temp\Perflib_Perfdata_c8.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"PhilipsLime"="c:\programme\Philips\Philips Lime Service\bin\LimeAlive.exe" [2005-09-08 159744]
"Steam"="e:\myworks\steam\steam.exe" [2008-10-08 1410296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2006-10-22 86016]
"RemoteControl"="c:\programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"razer"="c:\programme\Razer\razerhid.exe" [2005-05-17 147456]
"PhilipsDM"="c:\programme\Philips\Philips Device Manager\Bin\DeviceManager.exe" [2005-09-14 512000]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-26 136600]
"PCSuiteTrayApplication"="e:\myworks\Spiele\Nokia\NOKIAP~1\LAUNCH~1.EXE" [2006-06-15 229376]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"WireLessMouse"="e:\myworks\Tastatur\StartAutorun.exe" [2005-11-30 94208]
"WireLessKeyboard"="e:\myworks\Tastatur\StartAutorun.exe" [2005-11-30 94208]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-12 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 210520]
NCProTray.lnk - c:\programme\SEC\Natural Color Pro\NCProTray.exe [2007-07-06 49220]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\MyWorks\\ICQToolbar\\ICQ6\\ICQ.exe"=
"c:\\Programme\\devolo\\informer\\devinf.exe"=
"c:\\Dokumente und Einstellungen\\###\\Desktop\\easyshare.exe"=
"e:\\MyWorks\\Steam\\steamapps\\###\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"e:\\MyWorks\\Steam\\steamapps\\common\\trackmania nations forever\\TmForever.exe"=
"e:\\MyWorks\\Spiele\\Cs16\\hl.exe"=
"e:\\MyWorks\\Spiele\\BF\\BF2.exe"=
"e:\\MyWorks\\Steam\\steamapps\\###\\half-life 2 deathmatch\\hl2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 videX32;videX32;c:\windows\system32\DRIVERS\videX32.sys [2007-06-26 9728]
R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\DRIVERS\xfilt.sys [2007-06-26 11264]
R2 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;c:\windows\system32\plcndis5.sys [2004-05-17 17280]
R3 CAM1210;HAMA PC-WEBCAM AC-120;c:\windows\system32\Drivers\cam1210.sys [2007-08-30 93824]
S2 LVEzLoader;LifeView EZ-USB FX2 FIRMWARE LOADER (LVEzLD06.sys);c:\windows\system32\Drivers\LVEzLD06.sys [2008-07-05 15360]
S3 cdiskdun;cdiskdun;\??\c:\dokume~1\ROMANS~1\LOKALE~1\Temp\cdiskdun.sys []
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\system32\PLCMPR5.SYS []
S3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);c:\windows\system32\DRIVERS\zd1211u.sys [2007-06-30 237568]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2008-11-22 c:\windows\Tasks\WebReg Deskjet F4100 series.job
- c:\programme\HP\Digital Imaging\bin\hpqwrg.exe [2006-12-10 21:36]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-27 22:12:41
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\CTSVCCDA.EXE
c:\programme\Creative\Shared Files\CTDevSrv.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\rundll32.exe
c:\programme\Razer\razerofa.exe
c:\windows\system32\rundll32.exe
c:\programme\Philips\Philips Lime Service\bin\Lime.exe
e:\myworks\Tastatur\PS2USBKbdDrv.exe
e:\myworks\Tastatur\MouseDrv.exe
c:\programme\devolo\informer\devinf.exe
c:\programme\HP\Digital Imaging\bin\hpqste08.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-27 22:16:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-11-27 21:16:07
ComboFix2.txt  2008-11-27 19:23:01
ComboFix3.txt  2008-11-27 19:04:32
ComboFix4.txt  2008-11-17 20:27:50

Vor Suchlauf: 8.709.210.112 Bytes frei
Nach Suchlauf: 8,702,816,256 Bytes frei

168	--- E O F ---	2008-11-23 22:26:58
         

DANKE DANKE DANKE

Ok...
Mach das gleich bitte nochmal mit Combofix nur diesmal diesen Text als Script nehmen:

Code: Alles auswählenAufklappen

ATTFilter

Rootkit::
c:\dokume~1\ROMANS~1\LOKALE~1\Temp\cdiskdun.sys
         

Ich muss Dir auch leider sagen, dass Du wahrscheinlich Opfer des Silentbankers geworden bist, da ist ein Formatieren dringend empfohlen.

Hm und was bedeutet das wiederum?
das scripten werde ich gleich machen poste dann noch das log...

DA ist ein PRoblem aufgetaucht, hab heute leider keine Zeit mehr, mach des ganze moren dann und werde dich/euch informieren...