Habe ich mein System kompromittiert?

09.12.2008, 21:43

Hatte grade heftige Probleme, erst brach die Internetverbindung ab, dann ist der Computer abgestürzt. Beim Neustartversuch ist der Desktop nicht mehr aufgetaucht, bin dann im abgesicherten Modus hochgefahren. Wusste mir erstmal nicht anders zu helfen und habe Malwarebytes durchgeführt. Er fand gleich sechs infizierte Dateien, die dann in Quarantäne geschoben worden sind. Dann funktionierte wieder alles. Den Logfile setzte ich mal mit hier rein:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1474
Windows 5.0.2195 Service Pack 4

09.12.2008 21:28:58
mbam-log-2008-12-09 (21-28-58).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|)
Durchsuchte Objekte: 52580
Laufzeit: 18 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows logon application (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\scsaver.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\system32\winIogon.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

Werde jetzt bei Punkt 1 weitermachen. Ich denke, das ist diesmal was recht aggressives....

09.12.2008, 22:17

Hier der mbr-Logfile:

Code:

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, h*tp://w*w.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Und Blacklight fand nichts. (Dann geh ich davon aus, das alles sicher in Quarantäne ist.)

Und noch der Silentrunnerlogfile:

Code:

ATTFilter

"Silent Runners.vbs", revision 59, h*tp://w*w.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"LXSUPMON" = "C:\WINNT\system32\LXSUPMON.EXE RUN" ["Lexmark International Inc."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre6\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
"MSConfig" = "C:\Dokumente und Einstellungen\egal\Desktop\msconfig.exe /auto" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "AcroIEHlprObj Class"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Java(tm) Plug-In SSV Helper"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre6\bin\ssv.dll" ["Sun Microsystems, Inc."]
{DBC80044-A445-435b-BC74-9C25C1C588A9}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Java(tm) Plug-In 2 SSV Helper"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre6\bin\jp2ssv.dll" ["Sun Microsystems, Inc."]
{E7E6F031-17CE-4C07-BC86-EABFE594F69C}\(Default) = "JQSIEStartDetectorImpl"
  -> {HKLM...CLSID} = "JQSIEStartDetectorImpl Class"
                   \InProcServer32\(Default) = "C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "Systemsteuerungserweiterung für die Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{59850401-6664-101B-B21C-00AA004BA90B}" = "Microsoft Office Binder Unbind"
  -> {HKLM...CLSID} = "Microsoft Office Binder Unbind"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\1031\UNBIND.DLL" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
  -> {HKLM...CLSID} = "MCLiteShellExt Class"
                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
  -> {HKLM...CLSID} = "MCLiteShellExt Class"
                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
  -> {HKLM...CLSID} = "MCLiteShellExt Class"
                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
  -> {HKLM...CLSID} = "MBAMShlExt Class"
                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]


Default executables:
--------------------

<<!>> HKLM\SOFTWARE\Classes\.com\(Default) = "ComFile"


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"DisableRegistryTools" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLegacyLogonScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideLogoffScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"RunLogonScriptSync" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"RunStartupScriptSync" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"HideStartupScripts" = (REG_DWORD) dword:0x00000000
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "%APPDATA%\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\egal\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"


Startup items in "*" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users.WINNT\Startmenü\Programme\Autostart
"ISDN Guard" -> shortcut to: "C:\Programme\AGFEO\ISDN Guard\agfguard.exe" [" "]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"TK-Suite Client" -> shortcut to: "C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe -s" ["AGFEO"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
HID Input Service, HidServ, "C:\WINNT\system32\hidserv.exe" [MS]
Java Quick Starter, JavaQuickStarterService, ""C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf"" ["Sun Microsystems, Inc."]
SmartLinkService, SLService, "slserv.exe" [" "]


Accessibility Tools:
--------------------

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager\Narrator\
"Application Path" = (empty string) [file not found]
"Display Name" = "Narrator"
"Start with Utility Manager" = dword:0x00000001


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]


---------- (launch time: 2008-12-09 22:26:13)
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 440 seconds, including 19 seconds for message boxes)

cosinus · 10.12.2008, 01:18

Code:

ATTFilter

Infizierte Dateien:
C:\WINNT\system32\winIogon.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

Und noch ein Backdoor

Was ist mit Combofix? Sieh bloß zu, dass Du schnellstens die Windows-CD auftreibst und diesem System ein Ende setzt!

10.12.2008, 01:43

Zitat:

Und noch ein Backdoor

Sind es nicht zwei Backdoors? Malwarebytes hatte zwei entdeckt, ausserdem 4neue Trojaner.

Jetzt nun das Combofix - Ergebnis (Ja, die Wiederherstellungskonsole....*schäm*):

Code:

ATTFilter

ComboFix 08-12-07.04 - * 09.12.2008 23:35:45.3 - NTFSx86
Running from: c:\dokumente und einstellungen\*\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((   Files Created from 2008-11-09 to 2008-12-09  )))))))))))))))))))))))))))))))
.

2008-12-09 22:26 . 09.12.08 23:33 	16,384	--a----t-	c:\winnt\system32\Perflib_Perfdata_2a0.dat
2008-12-09 21:32 . 09.12.08 21:32 	16,384	--a----t-	c:\winnt\system32\Perflib_Perfdata_1f8.dat
2008-12-09 20:33 . 09.12.08 20:33 	16,384	--a----t-	c:\winnt\system32\Perflib_Perfdata_210.dat
2008-12-09 20:26 . 09.12.08 20:26 	81,920	--a------	c:\winnt\system32\fwvkjha.exe
2008-12-09 20:26 . 09.12.08 20:26 	33,459	--a------	c:\winnt\system32\wxfdbr.exe
2008-12-09 18:42 . 09.12.08 18:42 	16,384	--a----t-	c:\winnt\system32\Perflib_Perfdata_208.dat
2008-12-09 17:21 . 09.12.08 17:21 	16,384	--a----t-	c:\winnt\system32\Perflib_Perfdata_290.dat
2008-12-09 17:00 . 09.12.08 17:00 	16,384	--a----t-	c:\winnt\system32\Perflib_Perfdata_450.dat
2008-12-09 16:59 . 09.12.08 16:51 	410,984	--a------	c:\winnt\system32\deploytk.dll
2008-12-09 01:14 . 09.12.08 01:14 	<DIR>	d--------	c:\programme\Lavalys
2008-12-08 21:14 . 08.12.08 21:13 	2,554	--a------	c:\programme\listing8.cmd
2008-12-08 20:19 . 08.12.08 20:19 	<DIR>	d--------	c:\programme\CCleaner
2008-12-08 19:02 . 08.12.08 20:43 	16,384	--a----t-	c:\winnt\system32\Perflib_Perfdata_29c.dat
2008-12-08 08:58 . 08.12.08 08:58 	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2008-12-08 08:58 . 08.12.08 08:58 	<DIR>	d--------	c:\dokumente und einstellungen\*\Anwendungsdaten\Malwarebytes
2008-12-08 08:58 . 08.12.08 08:58 	<DIR>	d--------	c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\Malwarebytes
2008-12-08 08:58 . 03.12.08 19:52 	38,496	--a------	c:\winnt\system32\drivers\mbamswissarmy.sys
2008-12-08 08:58 . 03.12.08 19:52 	15,504	--a------	c:\winnt\system32\drivers\mbam.sys
2008-12-04 23:42 . 04.12.08 23:42 	<DIR>	d--------	c:\programme\Trend Micro
2008-12-04 20:17 . 04.12.08 20:17 	<DIR>	d--------	c:\dokumente und einstellungen\*\Anwendungsdaten\ICQ
2008-12-04 01:57 . 04.12.08 20:17 	<DIR>	d--------	c:\dokumente und einstellungen\*\Anwendungsdaten\ICQLite
2008-12-02 19:52 . 27.05.93 16:02 	182,773	--a------	c:\winnt\system32\AAPLAY.DLL
2008-12-02 19:52 . 29.06.92 13:47 	16,912	--a------	c:\winnt\system32\MCIAAP.DRV
2008-12-02 19:52 . 29.06.92 15:33 	13,840	--a------	c:\winnt\system32\AAVGA.DLL
2008-12-02 19:50 . 03.12.08 20:14 	<DIR>	d--------	c:\winnt\cualern
2008-12-02 19:50 . 02.12.08 19:50 	<DIR>	d--------	c:\winnt\asym
2008-12-01 09:18 . 01.12.08 09:18 	<DIR>	d--------	c:\winnt\system32\BITS
2008-12-01 07:26 . 04.06.04 23:11 	438,272	---------	c:\winnt\system32\xpob2res.dll
2008-12-01 07:26 . 05.10.04 18:43 	360,960	-----c---	c:\winnt\system32\dllcache\qmgr.dll
2008-12-01 07:26 . 11.10.04 08:04 	331,776	--a------	c:\winnt\system32\winhttp.dll
2008-12-01 07:26 . 11.10.04 08:04 	331,776	-----c---	c:\winnt\system32\dllcache\winhttp.dll
2008-12-01 07:26 . 05.10.04 18:43 	17,408	--a------	c:\winnt\system32\qmgrprxy.dll
2008-12-01 07:26 . 05.10.04 18:43 	17,408	-----c---	c:\winnt\system32\dllcache\qmgrprxy.dll
2008-12-01 07:26 . 05.10.04 18:43 	7,680	-----c---	c:\winnt\system32\dllcache\bitsprx2.dll
2008-12-01 07:26 . 05.10.04 18:43 	7,680	---------	c:\winnt\system32\bitsprx2.dll
2008-12-01 07:26 . 05.10.04 18:43 	7,168	-----c---	c:\winnt\system32\dllcache\bitsprx3.dll
2008-12-01 07:26 . 05.10.04 18:43 	7,168	---------	c:\winnt\system32\bitsprx3.dll
2008-12-01 05:54 . 01.12.08 05:54 	<DIR>	d--------	c:\programme\Zone Labs
2008-12-01 02:54 . 20.04.01 15:33 	68,608	--a------	c:\winnt\system32\logagent.exe
2008-12-01 02:54 . 20.04.01 15:33 	28,160	--a------	c:\winnt\system32\laprxy.dll
2008-12-01 02:23 . 01.12.08 02:51 	<DIR>	d--------	c:\winnt\Windows Update Setup-Dateien
2008-12-01 02:23 . 01.12.08 02:54 	<DIR>	d--h-----	c:\winnt\msdownld.tmp
2008-12-01 02:22 . 01.12.08 02:22 	496,888	--a------	C:\wichtiges setup fr reibungsloses internet.exe
2008-12-01 01:50 . 16.10.08 14:08 	31,768	--a------	c:\winnt\system32\wucltui.dll.mui
2008-12-01 01:50 . 16.10.08 14:08 	27,672	--a------	c:\winnt\system32\wuaucpl.cpl.mui
2008-12-01 01:50 . 16.10.08 14:08 	27,672	--a------	c:\winnt\system32\wuapi.dll.mui
2008-12-01 01:50 . 16.10.08 14:07 	18,968	--a------	c:\winnt\system32\wuaueng.dll.mui

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-09 15:50	---------	d-----w	c:\programme\Java
2008-12-04 20:35	---------	d---a-w	c:\programme\ICQLite
2008-12-01 02:04	---------	d-----w	c:\programme\Gemeinsame Dateien\Dienste
2008-12-01 01:22	496,888	----a-w	C:\wichtiges setup für reibungsloses internet.exe
2008-10-17 17:10	---------	d-----w	c:\programme\ICQToolbar
2008-10-16 13:13	1,809,944	----a-w	c:\winnt\system32\wuaueng.dll
2008-10-16 13:12	561,688	----a-w	c:\winnt\system32\wuapi.dll
2008-10-16 13:12	323,608	----a-w	c:\winnt\system32\wucltui.dll
2008-10-16 13:09	92,696	----a-w	c:\winnt\system32\cdm.dll
2008-10-16 13:09	51,224	----a-w	c:\winnt\system32\wuauclt.exe
2008-10-16 13:09	43,544	----a-w	c:\winnt\system32\wups2.dll
2008-10-16 13:08	34,328	----a-w	c:\winnt\system32\wups.dll
2008-10-14 12:51	---------	d-----w	c:\programme\Gemeinsame Dateien\Java
2004-04-12 16:50	271	---h--w	c:\programme\desktop.ini
2004-04-12 16:50	22,080	---h--w	c:\programme\folder.htt
1999-12-10 11:00	32,528	----a-w	c:\winnt\inf\wbfirdma.sys
.

(((((((((((((((((((((((((((((   snapshot@Mo 08.12.2008_20.51.40,53   )))))))))))))))))))))))))))))))))))))))))
.
- 2005-08-12 14:38:38	23,558	----a-r	c:\winnt\Installer\{AC76BA86-7AD7-1031-7B44-A00000000001}\ARPPRODUCTICON.exe
+ 2008-12-09 15:09:12	23,558	----a-r	c:\winnt\Installer\{AC76BA86-7AD7-1031-7B44-A00000000001}\ARPPRODUCTICON.exe
- 2003-06-19 19:05:04	73,488	----a-w	c:\winnt\system32\DRWTSN32.EXE
+ 2003-06-19 19:05:04	81,680	----a-w	c:\winnt\system32\DRWTSN32.EXE
- 2008-06-09 23:21:01	135,168	----a-w	c:\winnt\system32\java.exe
+ 2008-12-09 15:51:47	144,792	----a-w	c:\winnt\system32\java.exe
- 2008-06-09 23:21:04	135,168	----a-w	c:\winnt\system32\javaw.exe
+ 2008-12-09 15:51:47	144,792	----a-w	c:\winnt\system32\javaw.exe
- 2008-06-10 00:32:34	139,264	----a-w	c:\winnt\system32\javaws.exe
+ 2008-12-09 15:51:47	148,888	----a-w	c:\winnt\system32\javaws.exe
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LXSUPMON"="c:\winnt\system32\LXSUPMON.EXE" [28.01.02 13:48  885760]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [09.12.08 16:51  136600]
"ICQ Lite"="c:\programme\ICQLite\ICQLite.exe" [29.09.03 13:58  1713755]
"MSConfig"="c:\dokumente und einstellungen\*\Desktop\msconfig.exe" [28.06.01 09:33  144896]
"Synchronization Manager"="mobsync.exe" [19.06.03 20:05  112400 c:\winnt\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [10.12.99 12:00  20752 c:\winnt\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [19.06.03 20:05  189712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LexBceS"=2 (0x2)
"AntiVirService"=2 (0x2)

.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://w*w.google.de/
IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm -
LSP: %SystemRoot%\system32\msafd.dll
TCP: {2C2D7C77-11F7-4989-8FF3-45F810F28AC9} = 212.6.108.140 212.6.108.141

O16 -: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
c:\winnt\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
c:\winnt\Downloaded Program Files\Microsoft XML Parser for Java.osd
FireFox -: Profile - c:\dokumente und einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\1rmc6l5i.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://w*w.google.de/
FF -: plugin - c:\programme\Adobe\Acrobat 6.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h*tp://w*w.gmer.net
Rootkit scan 2008-12-09 23:41:39
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(180)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL

- - - - - - - > 'explorer.exe'(1328)
c:\winnt\AppPatch\AcLayers.DLL
.
Completion time: 09.12.2008 23:46:30
ComboFix-quarantined-files.txt  2008-12-09 22:46:20
ComboFix2.txt  2008-12-09 16:35:55
ComboFix3.txt  2008-12-08 19:54:42

Pre-Run: 5.971.222.528 Bytes frei
Post-Run: 5,965,693,440 Bytes frei

147	--- E O F ---	2008-12-01 08:20:24

Und, ich hoffe, es hat alles geklappt:

http://www.file-upload.net/download-...sting.txt.html

Zu guter letzt, das aktuelle Hijackthis - Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:54:05, on 09.12.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LXSUPMON.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\AGFEO\ISDN Guard\agfguard.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tkmedia.exe
C:\WINNT\System32\cidaemon.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\notepad.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MSConfig] C:\Dokumente und Einstellungen\*\Desktop\msconfig.exe /auto
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*tp://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228092357738
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C2D7C77-11F7-4989-8FF3-45F810F28AC9}: NameServer = 212.6.108.140 212.6.108.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C2D7C77-11F7-4989-8FF3-45F810F28AC9}: NameServer = 212.6.108.140 212.6.108.141
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Health Center Service (HCenterSer) - Unknown owner - c:\RECYCLER\tesktog.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINNT\SYSTEM32\slserv.exe
O24 - Desktop Component 0: (no name) - h*tp://w*w.richard-universum.de/blog/wp-content/uploads/2006/05/blumen.jpg

--
End of file - 4465 bytes

cosinus · 11.12.2008, 16:15

Nun mach es bitte mit dem CF- Scripten:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code:

ATTFilter

Dirlook::
c:\winnt\cualern
c:\winnt\asym

Collect::
c:\winnt\asym.ini
c:\winnt\system32\fwvkjha.exe
c:\winnt\system32\wxfdbr.exe

File::
c:\winnt\tvtotal.exe
c:\winnt\tvtotal.scr
c:\jfidoj.exe
c:\aseinactive.dat
C:\WINNT\Tasks\SA.DAT

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

30.12.2008, 23:10

Hey,
tut mir leid, dass ich mich jetzt erst wieder melde, aber das nächste, was ich nach meinem letzten Beitrag hier gemacht habe, war nochmal das Avira Antivirus durchlaufen zu lassen... Und es fand wahnsinnige 880 Viren auf dem PC! Dann wollte der Pc garnichts mehr machen, nicht mal mehr runterfahren, das war echt traurig...

Naja, wir haben das Ding dann garnicht mehr angemacht, wie gesagt, die Sicherungscd war nicht mehr aufzufinden und neu kaufen wäre blöd gewesen bei Windows 2000, kann sicher jeder nachvollziehen.

Zu Weihnachten haben wir uns dann einen neuen PC besorgt und der hat auch Windows XP. Habe auch schon alle nötigen Sicherungen durchgeführt, ich denke, dass wir erstmal verschont bleiben von Trojanern und Co.

Und danke Root24 dass du mir geholfen hast (auch wenn ichs nicht geschafft hab, echt schade) aber das ganze hat mir wirklich sehr viel Spass gemacht! Vielleicht schreibt man sich ja mal wieder!
Tschaui

10.12.2008, 01:18	#33
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Habe ich mein System kompromittiert? Code: ATTFilter Infizierte Dateien: C:\WINNT\system32\winIogon.exe (Backdoor.Bot) -> Quarantined and deleted successfully. Und noch ein Backdoor Was ist mit Combofix? Sieh bloß zu, dass Du schnellstens die Windows-CD auftreibst und diesem System ein Ende setzt! __________________ __________________

Habe ich mein System kompromittiert?

Log-Analyse und Auswertung: Habe ich mein System kompromittiert?