mach erst mal Malwarebytes, dann combofix bitte

hier das malewarebyte Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1749
Windows 5.1.2600 Service Pack 2

2009-03-07 23:15:22
mbam-log-2009-03-07 (23-15-22).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 142054
Laufzeit: 34 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.155,85.255.112.153 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0dd0e93f-6149-4d14-8284-fd8d2d6df3d5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.155,85.255.112.153 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.155,85.255.112.153 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{0dd0e93f-6149-4d14-8284-fd8d2d6df3d5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.155,85.255.112.153 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.155,85.255.112.153 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{0dd0e93f-6149-4d14-8284-fd8d2d6df3d5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.155,85.255.112.153 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Sehr komisch, nichts gefunden?


Combofix Log:

Zitat:

ComboFix 09-03-06.02 - Simon 2009-03-07 23:19:42.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2046.1737 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Simon\Eigene Dateien\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\dokumente und einstellungen\Simon\Uninstall.exe
c:\windows\regedit.com
c:\windows\system32\drivers\gaopdxkkqqkojtllghlurspwampmmcxobvuvjt.sys
c:\windows\system32\drivers\gaopdxmburrwowbnmpfqxsbrfoawhtkspylqbd.sys
c:\windows\system32\gaopdxcounter
c:\windows\system32\gaopdxmtnqwmkjneonwevnjkbwkjfxnmtnthks.dll
c:\windows\system32\taskmgr.com
F:\Autorun.inf
f:\recycler\S-8-7-62-100030998-100007019-100028898-3164.com

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-07 bis 2009-03-07 ))))))))))))))))))))))))))))))
.

2009-03-07 22:38 . 2009-03-07 22:38 <DIR> d-------- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Malwarebytes
2009-03-07 22:25 . 2009-03-07 22:26 2,533,020 --a------ c:\windows\REGBK00.ZIP
2009-03-07 21:44 . 2009-03-07 22:02 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-07 21:44 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-07 21:44 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-07 21:37 . 2009-03-07 21:37 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-07 21:33 . 2009-03-07 21:33 <DIR> d-------- c:\programme\CCleaner
2009-03-07 17:31 . 2009-03-06 20:03 626,688 --a------ c:\windows\system32\msvcr80.dll
2009-03-07 17:31 . 2009-03-06 20:03 548,864 --a------ c:\windows\system32\msvcp80.dll
2009-03-07 17:31 . 2009-03-07 17:31 28,672 --a------ c:\windows\system32\eEmpty.exe
2009-03-07 17:31 . 2009-03-06 20:03 522 --a------ c:\windows\system32\Microsoft.VC80.CRT.manifest
2009-03-07 17:28 . 2009-03-07 17:28 <DIR> d-------- c:\programme\Trend Micro
2009-03-07 17:18 . 2009-03-07 17:18 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-03-07 16:45 . 2009-03-07 16:45 664 --a------ c:\windows\system32\d3d9caps.dat
2009-03-07 16:44 . 2009-03-06 19:09 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-03-07 16:44 . 2009-03-06 19:01 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-03-07 16:44 . 2009-03-06 19:01 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-03-07 16:44 . 2009-03-07 23:20 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-03-07 16:44 . 2009-03-06 19:01 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-03-07 16:44 . 2009-03-06 19:01 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-03-07 16:44 . 2009-03-06 19:01 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-03-07 16:44 . 2009-03-07 17:18 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-03-07 16:08 . 2009-03-07 22:37 <DIR> d----c--- c:\windows\system32\DRVSTORE
2009-03-07 16:05 . 2009-03-07 16:05 <DIR> d-------- c:\programme\Alwil Software
2009-03-07 16:05 . 2003-03-18 21:20 1,060,864 --a------ c:\windows\system32\MFC71.dll
2009-03-07 16:05 . 2003-03-18 20:14 499,712 --a------ c:\windows\system32\MSVCP71.dll
2009-03-07 16:05 . 2003-02-21 04:42 348,160 --a------ c:\windows\system32\MSVCR71.dll
2009-03-07 16:01 . 2009-03-07 22:37 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-03-07 16:00 . 2009-03-07 16:00 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2009-03-07 15:59 . 2009-03-07 15:59 <DIR> d-------- C:\!KillBox
2009-03-07 00:04 . 2009-03-07 00:04 <DIR> d-------- c:\programme\Teamspeak2_RC2
2009-03-07 00:04 . 2009-03-07 00:05 <DIR> d-------- c:\dokumente und einstellungen\Simon\Anwendungsdaten\teamspeak2
2009-03-07 00:04 . 2009-03-07 00:04 34,064 --a------ c:\windows\system32\lhacm.acm
2009-03-06 20:24 . 2009-03-06 20:24 22 --a------ c:\dokumente und einstellungen\Simon\zipnew.dat
2009-03-06 20:24 . 2009-03-06 20:24 20 --a------ c:\dokumente und einstellungen\Simon\rarnew.dat
2009-03-06 20:23 . 2008-09-30 22:17 <DIR> d-------- c:\dokumente und einstellungen\Simon\Formats
2009-03-06 20:23 . 2008-09-30 22:17 968,704 --a------ c:\dokumente und einstellungen\Simon\WinRAR.exe
2009-03-06 20:23 . 2008-09-30 22:17 323,072 --a------ c:\dokumente und einstellungen\Simon\Rar.exe
2009-03-06 20:23 . 2008-09-16 20:17 204,800 --a------ c:\dokumente und einstellungen\Simon\UnRAR.exe
2009-03-06 20:23 . 2008-09-16 20:18 132,608 --a------ c:\dokumente und einstellungen\Simon\RarExt.dll
2009-03-06 20:23 . 2008-06-20 00:41 62,464 --a------ c:\dokumente und einstellungen\Simon\RarExt64.dll
2009-03-06 20:23 . 2008-06-20 19:13 44,032 --a------ c:\dokumente und einstellungen\Simon\RarExtLoader.exe
2009-03-06 20:21 . 2009-03-07 21:24 <DIR> d-------- c:\programme\Trillian
2009-03-06 20:01 . 2009-03-07 22:25 <DIR> d-------- C:\PUB
2009-03-06 20:01 . 2009-03-07 22:25 <DIR> d-------- c:\programme\Gemeinsame Dateien\MicroWorld
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Vorlagen
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Startmenü
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Favoriten
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Dokumente
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\remoteservice\Anwendungsdaten
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\remoteservice
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Vorlagen
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Favoriten
2009-03-06 20:01 . 2009-03-06 20:01 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Dokumente
2009-03-06 20:01 . 2004-08-04 00:58 153,600 --a------ c:\windows\R.COM
2009-03-06 20:01 . 2004-08-04 00:58 140,800 --a------ c:\windows\system32\T.COM
2009-03-06 20:01 . 2009-03-06 20:01 70,020 --a------ c:\windows\winsbak2.reg
2009-03-06 20:01 . 2009-03-06 20:01 9,106 --a------ c:\windows\winsbak.reg
2009-03-06 20:01 . 2009-03-06 19:08 211 --a------ C:\bootini.ins
2009-03-06 20:01 . 2009-03-07 22:25 0 --a------ C:\23990098.$$$
2009-03-06 20:00 . 2008-07-16 17:47 1,540,096 --a------ c:\windows\system32\contfilt.dll
2009-03-06 20:00 . 2008-07-16 16:57 155,648 --a------ c:\windows\system32\mwnsp.dll
2009-03-06 20:00 . 2000-04-03 22:00 130,560 --a------ c:\windows\system32\ZIPDLL.DLL
2009-03-06 20:00 . 2005-10-09 18:53 125,440 --a------ c:\windows\system32\UNZDLL.DLL
2009-03-06 20:00 . 2008-07-16 16:09 49,152 --a------ c:\windows\killproc.exe
2009-03-06 20:00 . 2005-04-03 13:08 8,464 --a------ c:\windows\system32\sporder.dll
2009-03-06 20:00 . 2005-04-03 13:08 8,464 --a------ c:\windows\sporder.dll
2009-03-06 20:00 . 1997-09-18 06:12 8,192 --a------ c:\windows\sporder.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-07 22:18 --------- d-----w c:\programme\Steam
2009-03-07 15:07 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-03-06 18:53 --------- d-----w c:\programme\Opera
2009-03-06 18:48 --------- d-----w c:\programme\200MbpsPLC
2009-03-06 18:44 --------- d-----w c:\programme\AGEIA Technologies
2009-03-06 18:35 315,392 ----a-w c:\windows\HideWin.exe
2009-03-06 18:35 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-06 18:35 --------- d-----w c:\programme\Realtek
2009-03-06 18:35 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-03-06 18:35 --------- d-----w c:\programme\Driver
2009-03-06 18:34 --------- d-----w c:\dokumente und einstellungen\Simon\Anwendungsdaten\InstallShield
2009-03-06 18:12 --------- d-----w c:\programme\microsoft frontpage
2009-03-06 18:11 --------- d-----w c:\programme\Online-Dienste
2009-03-06 18:10 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Steam"="c:\programme\steam\steam.exe" [2009-03-06 1410296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"RTHDCPL"="RTHDCPL.EXE" [2007-12-20 c:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2008-09-17 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"enablefirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=

R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [2009-03-06 13696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-1-3-44-100024830-100019149-100011082-8669.com c:\
\Shell\Open\command - RECYCLER\S-1-3-44-100024830-100019149-100011082-8669.com c:\
.
Inhalt des "geplante Tasks" Ordners

2009-03-07 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-07 23:20:39
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-03-07 23:21:11
ComboFix-quarantined-files.txt 2009-03-07 22:21:10

Vor Suchlauf: 10 Verzeichnis(se), 174,819,889,152 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 174,871,216,128 Bytes frei

152

lg simagain

Zitat:

Zitat von simagain

Combofix bootete neu und fuhr fort mit dem Scannen.Leider war bei dem Neustart mein Av wieder aktiv, also brach ich vorsichtshalber per Strg+alt+entf den Combofix Scanvorgang ab und löschte AV von meinem Pc.

Tu so etwas nie wieder!

Combofix weiß damit umzugehen das nach einem Neustart die AV-Software wieder aktiviert wird!
Problematisch ist es nur weil CF auch einige Systemtreiber kurzzeitig zurücksetzt, unter anderem die Internetverbindung...

Zitat:

Zitat von [GC]Sunny

Tu so etwas nie wieder!

Combofix weiß damit umzugehen das nach einem Neustart die AV-Software wieder aktiviert wird!
Problematisch ist es nur weil CF auch einige Systemtreiber kurzzeitig zurücksetzt, unter anderem die Internetverbindung...

:/,mist.Ich werds mir einverleiben.Danke.
Hab gedacht beenden wäre besser als laufen lassen.

Über derartige Programme weiß ich leider auch nichts.

Lg simagain

Was ist dein Laufwerk F:?
Hattest du wirklich alle externen Datenträger angeschlossen?

ciao, andreas

Jap,2 stück.Volume ( F: ) ist ein externer, Datalux ( E: ) der andere.

Da steht es :

Zitat:

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 142054
Laufzeit: 34 minute(s), 1 second(s)

Du hast dich nach der Neuinstallation mit deinem externen F: Laufwerk gleich wieder neu infiziert. Hast du noch irgendetwas mit dem Rechner verbunden, wie Handy, Memorycards, Memorysticks, Kamera, .... ? Wir müssen alles erwischen, sonst ist der ganze Aufwand vergeblich.

ciao, andreas

nein,habe sonst absolut nichtsmehr dran.Nur die 2 Festplatten.Ja F: ist die Platte auf der ich meine Daten gesichert habe die ich brauche.

Was muss ich nun tun?

Lg simagain

Gibt zwei Möglichkeiten:

1.) Neuinstallation. Danach werde ich dich scannen lassen, bist du blau wirst, um die externen Datenträger sauber zu bekommen.

2.) Bereinigung. Da werde ich dich allerdings scannen lassen, bis du schwarz wirst, also überlege dir gut, ob du das willst.

Die erste Möglichkeit ist schneller und sicherer, deine Entscheidung. AdAware wird nicht mehr installiert.

ciao, andreas

Adaware ist eh zeimlich veralteter Kram, genau wie Spybot - kann/könnte mich Spybot S&D nicht wirklich anschließen. ^^

hm,okay.Dann nehme ich wohl die 1.).
Muss ich am Anfang gleich Antivir oder irgendwelche Viren-Programme draufspielen oder kann ich das lassen?

Ich werde gleich morgen in der Früh neu aufsetzen.
Soll ich dann den Datenträger F: erstmal nciht anschließen und scannen ob vor dem Anschluss alles sicher ist?

Lg sima

Ich persönlich nutze kein Antivirenprogramm ausser brain.exe. Wenn du dem Irrglauben abschwörst, ein Sicherheitsprogramm könne dich beschützen, dann installiere Avira. Aber sei dir bewusst, das es kein wirklicher Schutz ist.

Schützen kannst du dich mit diesen einfachen Regeln (versuche die Regel zu finden, gegen die du verstossen hast und lerne daraus): http://www.trojaner-board.de/69792-r...tml#post412719

Wichtig ist es, alle Sicherheitsupdates von MS zu installieren. Vor der Neuinstallation das SP3 und MSIE 7 downloaden, Verbindung zum Internet trennen, Neuinstallation, SP3 draufspielen, MSIE 7 installieren, Verbindung zum Internet herstellen und umgehend alle Updates von http://update.microsoft.com installieren. Autoplay abschalten, die externen Festplatten anschliessen und mit folgenden Scannern testen:

1.) Führe SUPERAntiSpyware nach dieser Anleitung aus und poste das Log: http://www.trojaner-board.de/51871-a...tispyware.html

2.) Vollständigen Scan mit MalwareBytes.

3.) CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

4.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

5.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.

Logs nur posten, falls etwas gefunden wird. Zum Abschluss ein HJT-Log posten.

ciao, andreas

, Vielen Dank für's Helfen, mach mich gleich morgen fleißig ans Werk.
Dann lass ich die ganzen Antivir-Programme in Zukunft weg.

Danke für die klaren Anweisungen.Bis morgen so um Mittag rum sind die ganzen Logs wahrscheinlich da.

Achja, die Pfade in den Logs, dort habe ich meinen Namen nicht bearbeitet (wie es eig. in den Regeln steht) da es nicht mein vollständiger ist sondern nur Simon, könnte jeder sein.Aber dürfte kein Problem sein oder?

lg sima

Ich würds trotzdem wegXXXen

Ich weiß nicht ob das was zur Sache tut, ich konnte wegen dem Virus nie per Doppelklick eine Festplatte öffnen.Jetzt geht es, wegen Combofix wahrscheinlich.

Lg simagain