Probleme mit Mirar und anderen Trojanern/Malware

Grayman · 22.12.2008, 01:39

So, erstmal entschuldige ich mich für meinen vorherigen Beitrag, ich stand etwas unter Zeitdruck und hatte daher nicht die Zeit, mir die Regeln ausführlich durchzulesen. Hier nun die hoffentlich bessere Version.

Mein Betriebssystem ist Windows XP Professional (braucht ihr da mehr Infos? x.x)

Also, das erste Problem ist, dass ich bei meinem Internet Explorer die Mirar-Toolbar habe. Bei dem Versuch, die zu deinstallieren, öffnet sich ein Fenster wo steht, dass die Toolbar ja ganz toll wäre und sie überhaupt nicht schädlich sei und daher erst keine Deinstallation ermöglicht.

Desweiteren kommen öfters Meldungen über Malware und Trojaner bei Avira Antivirus:
Dropper.gen
Heur/Malware

Tut mir leid, dass ich dazu keine weiteren Infos zur Zeit geben kann, ich werde mir die Meldungen beim nächsten Mal rausschreiben und hier reinschreiben.
Falls ihr dazu doch noch mehr Informationen braucht, bitte ich euch, dieses Thema nicht in die Mülltonne zu verschieben, sondern einfach auf zu lassen, ich werde das dann so bald wie möglich editieren.

So und jetzt die Logs.
HijackThis:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:19:36, on 21.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\VMSnap23.exe
C:\WINDOWS\Domino.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\BitDefender\BitDefender 2009\bdagent.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\SonicWALL\SSL-VPN\NetExtender\NEService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~2.EXE
C:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\explorer.exe
E:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O1 - Hosts: 83.142.84.210 l2authd.lineage2.com
O1 - Hosts: 83.142.84.210 l2testauthd.lineage2.com
O1 - Hosts: 216.107.250.194 nprotect.lineage2.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Mirar - {A1446C53-6522-43B6-A5CA-1C32E40AC208} - C:\WINDOWS\system32\winmf77.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926. 3450\swg.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Mirar - {A1446C52-6522-43B6-A5CA-1C32E40AC208} - C:\WINDOWS\system32\winmf77.dll
O4 - HKLM\..\Run: [RTHDCPL] "C:\WINDOWS\RTHDCPL.EXE"
O4 - HKLM\..\Run: [SkyTel] "C:\WINDOWS\SkyTel.EXE"
O4 - HKLM\..\Run: [JMB36X Configure] "C:\WINDOWS\system32\JMRaidTool.exe" boot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BigDogPath323VMSnap] "C:\WINDOWS\VMSnap23.exe"
O4 - HKLM\..\Run: [BigDogPath323Domino] "C:\WINDOWS\Domino.exe"
O4 - HKLM\..\Run: [SonicWALLNetExtender] "C:\Programme\SonicWALL\SSL-VPN\NetExtender\NEGui.exe" -hideGUI -clearReboot
O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe "
O4 - HKLM\..\Run: [Copperhead] "C:\Programme\Razer\Copperhead\razerhid.exe"
O4 - HKLM\..\Run: [razer] "C:\Programme\Razer\Copperhead\razerhid.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Alcmtr] "C:\WINDOWS\ALCMTR.EXE"
O4 - HKLM\..\Run: [prunnet] "C:\WINDOWS\system32\prunnet.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Programme\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [ICQ] "E:\PROGRA~1\ICQ6\ICQ.exe" silent
O4 - HKCU\..\RunOnce: [Shockwave Updater] "C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~2.E XE" -Update -1100465 -"Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.18) Gecko/20081029 Firefox/2.0.0.18" -"http://******
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: HPAiODevice(hp officejet d series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Update Service (gupdate1c95d635fee6818) (gupdate1c95d635fee6818) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SonicWALL NetExtender Service (SONICWALL_NetExtender) - SonicWALL Inc. - C:\Programme\SonicWALL\SSL-VPN\NetExtender\NEService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Programme\BitDefender\BitDefender 2009\vsserv.exe

--
End of file - 7558 bytes

Combofix:

Code:

ATTFilter

ComboFix 08-12-20.05 - **** 2008-12-21 23:29:59.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2046.1533 [GMT 1:00]
ausgeführt von:: E:\ComboFix.exe
* Resident AV is active

.

((((((((((((((((((((((( Dateien erstellt von 2008-11-21 bis 2008-12-21 ))))))))))))))))))))))))))))))
.

2008-12-21 16:28 . 2008-12-21 21:14 116 --a------ c:\windows\NeroDigital.ini
2008-12-21 16:22 . 2004-03-02 17:37 125,184 --------- c:\windows\system32\drivers\imagesrv.sys
2008-12-21 16:22 . 2004-03-02 17:37 5,504 --------- c:\windows\system32\drivers\imagedrv.sys
2008-12-21 16:21 . 2008-12-21 16:21 <DIR> d-------- c:\programme\Gemeinsame Dateien\Ahead
2008-12-21 16:21 . 2004-07-26 17:16 1,568,768 --------- c:\windows\system32\ImagX7.dll
2008-12-21 16:21 . 2004-07-26 17:16 476,320 --------- c:\windows\system32\ImagXpr7.dll
2008-12-21 16:21 . 2004-07-26 17:16 471,040 --------- c:\windows\system32\ImagXRA7.dll
2008-12-21 16:21 . 2004-07-26 17:16 262,144 --------- c:\windows\system32\ImagXR7.dll
2008-12-21 16:21 . 2001-07-09 11:50 155,648 --a------ c:\windows\system32\NeroCheck.exe
2008-12-21 16:21 . 2000-06-26 11:45 106,496 --a------ c:\windows\system32\TwnLib20.dll
2008-12-21 12:02 . 2008-12-21 12:02 <DIR> d-------- c:\programme\Creative Labs
2008-12-21 12:02 . 1998-10-29 16:45 306,688 --a------ c:\windows\IsUninst.exe
2008-12-21 12:02 . 1999-07-06 14:13 40,960 --a------ c:\windows\system32\eax.dll
2008-12-21 00:33 . 2008-12-21 00:33 <DIR> d-------- C:\DVDVideoSoft
2008-12-17 23:38 . 2008-12-17 23:39 <DIR> d-------- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-12-17 20:25 . 2008-12-21 23:31 121 --a------ c:\windows\bdagent.INI
2008-12-13 15:48 . 2008-12-13 15:48 2,368 --a------ c:\windows\system32\SVKP.sys
2008-12-11 23:32 . 2008-12-11 23:32 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\Leadertech
2008-12-10 22:36 . 2008-12-10 22:36 475 --a------ c:\windows\system32\BDUpdateV1.xml
2008-12-10 18:27 . 2008-12-10 18:28 <DIR> d-------- c:\temp\google
2008-12-09 22:49 . 2008-12-09 22:49 850 --a------ c:\windows\system32\ProductTweaks.xml
2008-12-09 22:49 . 2008-12-09 22:49 385 --a------ c:\windows\system32\user_gensett.xml
2008-12-09 22:44 . 2008-12-09 22:44 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\BitDefender
2008-12-09 22:43 . 2008-12-09 22:43 <DIR> d-------- c:\programme\BitDefender
2008-12-09 22:43 . 2008-12-09 22:48 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BitDefender
2008-12-09 22:42 . 2008-12-09 22:43 <DIR> d-------- c:\programme\Gemeinsame Dateien\BitDefender
2008-12-09 17:24 . 2008-12-09 17:24 <DIR> d-------- c:\programme\Gemeinsame Dateien\Adobe
2008-12-09 17:23 . 2008-12-09 17:23 <DIR> d-------- c:\dokumente und einstellungen\Default User\Eigene Dateien
2008-12-09 16:52 . 2008-12-09 16:52 164 --a------ C:\install.dat
2008-12-09 16:18 . 2008-12-13 21:43 <DIR> d-------- c:\programme\Google
2008-12-09 16:18 . 2008-12-21 20:01 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-12-09 16:00 . 2008-12-11 15:19 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-12-09 15:57 . 2008-12-09 15:57 <DIR> d-------- c:\programme\ClearProg
2008-12-08 16:30 . 2008-11-21 20:15 401,408 --a------ c:\windows\system32\winmf77.dll
2008-12-08 16:15 . 2008-12-10 18:27 <DIR> d-------- C:\Temp
2008-12-03 17:13 . 2008-12-03 17:13 25,280 --a------ c:\windows\system32\drivers\hamachi.sys
2008-12-03 16:43 . 2008-12-04 21:03 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
2008-11-27 16:59 . 2008-11-27 16:59 <DIR> d-------- c:\dokumente und einstellungen\****\Anwendungsdaten\InstallShield Installation Information
2008-11-27 16:58 . 2008-11-27 16:58 <DIR> d-------- c:\windows\Logs
2008-11-27 16:58 . 2008-05-30 14:11 3,850,760 --a------ c:\windows\system32\D3DX9_38.dll
2008-11-27 16:58 . 2008-05-30 14:11 1,491,992 --a------ c:\windows\system32\D3DCompiler_38.dll
2008-11-27 16:58 . 2008-05-30 14:19 507,400 --a------ c:\windows\system32\XAudio2_1.dll
2008-11-27 16:58 . 2008-05-30 14:11 467,984 --a------ c:\windows\system32\d3dx10_38.dll
2008-11-27 16:58 . 2008-05-30 14:18 238,088 --a------ c:\windows\system32\xactengine3_1.dll
2008-11-27 16:58 . 2008-05-30 14:17 65,032 --a------ c:\windows\system32\XAPOFX1_0.dll
2008-11-27 16:58 . 2008-05-30 14:17 25,608 --a------ c:\windows\system32\X3DAudio1_4.dll
2008-11-27 16:57 . 2008-11-27 16:57 <DIR> d-------- c:\windows\system32\xlive

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2008-12-21 21:56 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\OpenOffice.org2
2008-12-21 21:55 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\DAEMON Tools
2008-12-21 15:19 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-12-14 15:25 183,112 ----a-w c:\windows\system32\PnkBstrB.exe
2008-12-14 15:25 138,184 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2008-12-14 00:28 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\Hamachi
2008-12-12 14:26 66,872 ----a-w c:\windows\system32\PnkBstrA.exe
2008-12-08 13:48 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\gtk-2.0
2008-12-08 13:48 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\DivX
2008-11-29 17:58 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\Skype
2008-11-29 15:01 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\skypePM
2008-11-16 02:14 --------- d-----w c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2008-11-16 01:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard
2008-11-09 00:03 --------- d-----w c:\programme\DivX
2008-11-07 21:17 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\teamspeak2
2008-11-01 01:05 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2008-11-01 01:04 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-01 01:04 --------- d-----w c:\programme\BitTorrent++
2008-10-26 23:52 --------- d-----w c:\programme\MSBuild
2008-10-26 23:51 --------- d-----w c:\programme\Reference Assemblies
2008-10-26 23:49 --------- d-----w c:\programme\MSXML 6.0
2008-10-26 11:59 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\ICQ
2008-10-25 00:29 --------- d-----w c:\programme\Razer
2008-10-24 14:13 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\vlc
2008-10-22 22:28 --------- d-----w c:\dokumente und einstellungen\****\Anwendungsdaten\Load
2008-10-22 18:30 --------- d-----w c:\programme\directx
2008-10-09 14:31 192,512 ----a-w c:\windows\system32\txmlutil.dll
2008-10-03 11:38 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-01-15 14:44 22,328 ----a-w c:\dokumente und einstellungen\****\Anwendungsdaten\PnkBstrK.sys
2008-01-03 21:11 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-12-09 22:05 61,440 ----a-w c:\programme\mozilla firefox\components\FFComm.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A1446C53-6522-43B6-A5CA-1C32E40AC208}]
2008-11-21 20:15 401408 --a------ c:\windows\system32\winmf77.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{A1446C52-6522-43B6-A5CA-1C32E40AC208}"= "c:\windows\system32\winmf77.dll" [2008-11-21 401408]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{A1446C52-6522-43B6-A5CA-1C32E40AC208}"= "c:\windows\system32\winmf77.dll" [2008-11-21 401408]

[HKEY_CLASSES_ROOT\clsid\{a1446c52-6522-43b6-a5ca-1c32e40ac208}]
[HKEY_CLASSES_ROOT\TypeLib\{F31C5CB8-7DAE-43CC-8D85-C9C3062687B7}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"DAEMON Tools Lite"="e:\programme\DAEMON Tools Lite\daemon.exe" [2008-01-03 486856]
"ICQ"="e:\progra~1\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\RunOnce]
"Shockwave Updater"="c:\windows\system32\Adobe\SHOCKW~1\SWHEL P~2.EXE -Update -1100465 -Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.18)" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"RTHDCPL"="c:\windows\RTHDCPL.EXE" [2006-06-28 16248320]
"SkyTel"="c:\windows\SkyTel.EXE" [2006-05-16 2879488]
"JMB36X Configure"="c:\windows\system32\JMRaidTool.exe" [2006-04-25 385024]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"BigDogPath323VMSnap"="c:\windows\VMSnap23.exe " [2006-09-19 212992]
"BigDogPath323Domino"="c:\windows\Domino.exe" [2006-06-28 49152]
"SonicWALLNetExtender"="c:\programme\SonicWALL \SSL-VPN\NetExtender\NEGui.exe" [2008-04-09 562608]
"WinampAgent"="e:\programme\Winamp\winampa.exe " [2008-08-04 36352]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_0 7\bin\jusched.exe" [2008-06-10 144784]
"Copperhead"="c:\programme\Razer\Copperhead\razerh id.exe" [2005-11-25 155648]
"razer"="c:\programme\Razer\Copperhead\razerhid.ex e" [2005-11-25 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"BDAgent"="c:\programme\BitDefender\BitDefende r 2009\bdagent.exe" [2008-10-30 741376]
"BitDefender Antiphishing Helper"="c:\programme\BitDefender\BitDefender 2009\IEShow.exe" [2008-10-17 69632]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.e xe" [2001-07-09 155648]
"prunnet"="c:\windows\system32\prunnet.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\Timo\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk - c:\programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HPAiODevice(hp officejet d series) - 1.lnk - c:\programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe [2002-03-07 491582]

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"e:\\Sicherung\\D\\Steam\\steamapps\\**********\\c ounter-strike source\\hl2.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\GameSpy\\Comrade\\Comrade.exe" =
"e:\\Games\\Crysis\\Bin32\\Crysis.exe"=
"e:\\Games\\Crysis\\Bin32\\CrysisDedicatedServer.e xe"=
"c:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"e:\\Programme\\ICQ6\\ICQ.exe"=
"e:\\Sicherung\\D\\Steam\\steamapps\\**********\\s ource dedicated server\\srcds.exe"=
"e:\\Sicherung\\D\\Steam\\steamapps\\common\\track mania nations forever\\TmForever.exe"=
"e:\\Games\\Assassins Creed\\AssassinsCreed_Dx9.exe"=
"e:\\Games\\Assassins Creed\\AssassinsCreed_Dx10.exe"=
"e:\\Games\\Assassins Creed\\AssassinsCreed_Launcher.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"e:\\Games\\Flat Out 2\\FlatOut2.exe"=
"e:\\Games\\Jedi Academy\\GameData\\jamp.exe"=
"e:\\Games\\AoE III\\age3.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Java\\jre1.6.0_05\\bin\\javaw.exe" =
"e:\\Games\\CoD4\\Game\\iw3mp.exe"=
"c:\\Programme\\Java\\jre1.6.0_05\\bin\\java.e xe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"e:\\Games\\SUM2\\game.dat"=
"e:\\Games\\SUM2\\patchget.dat"=
"e:\\Sicherung\\D\\WoW WotLK\\Repair.exe"=
"e:\\Programme\\BitLord\\BitLord.exe"=

R2 SVKP;SVKP;\??\c:\windows\system32\SVKP.sys [2008-12-13 2368]
R2 vcs;Vcs support;\??\c:\windows\system32\Drivers\Vcs.sys [2008-02-21 6852]
R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [2008-09-18 111112]
R3 Razerlow;Razer Copperhead Driver;c:\windows\system32\Drivers\Razerlow.sys [2008-10-25 19020]
R3 SSLDrv;SSL-VPN NetExtender Adapter;c:\windows\system32\DRIVERS\SSLDrv.sys [2008-02-05 20504]
S2 gupdate1c95d635fee6818;Google Update Service (gupdate1c95d635fee6818);"c:\programme\Google\Upda te\GoogleUpdate.exe" /svc [2008-12-13 119280]
S3 Arrakis3;BitDefender Arrakis Server;"c:\programme\Gemeinsame Dateien\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe" [2008-07-17 118784]
S3 vmfilter323;323 filter service, Normal;c:\windows\system32\drivers\vmfilter323.sys [2008-01-03 476672]
S3 ZSMC326;TD7 USB2.0 PC Camera(VC0323);c:\windows\system32\Drivers\usbvm32 3.sys [2008-01-03 259968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{057a7142-b3e7-11dc-b344-806d6172696f}]
\Shell\AutoRun\command - D:\Setup.EXE

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-12-21 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2008-12-13 21:42]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-RunOnce-<NO NAME> - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
FF - ProfilePath - c:\dokumente und einstellungen\Timo\Anwendungsdaten\Mozilla\Firefox \Profiles\fh6axey6.default\
FF - prefs.js: browser.startup.homepage - www.google.de
FF - component: c:\programme\Mozilla Firefox\components\FFComm.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1425.4532\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.133.31\npGoogleOneC lick7.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npNELaunch.dll
FF - plugin: e:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-21 23:31:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

************************************************** ************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(872)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-12-21 23:32:02
ComboFix-quarantined-files.txt 2008-12-21 22:31:59
ComboFix2.txt 2008-12-21 22:14:56

Vor Suchlauf: 6.754.750.464 Bytes frei
Nach Suchlauf: 6,742,806,528 Bytes frei

217

Wenn ihr mir mit den Informationen immer noch nicht weiterhelfen könnt, bitte ich wenigstens darum, dass genau gesagt wird, was ihr noch für Informationen benötigt.

MfG
Grayman

Probleme mit Mirar und anderen Trojanern/Malware

Log-Analyse und Auswertung: Probleme mit Mirar und anderen Trojanern/Malware

Probleme mit Mirar und anderen Trojanern/Malware

Ähnliche Themen: Probleme mit Mirar und anderen Trojanern/Malware