Viren nach anschließen eines MP3-Players

Killtrojans · 14.03.2009, 17:43

.... so hier

ComboFix 09-03-13.02 - Huraz 2009-03-14 17:27:41.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1535.1190 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Huraz\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\resycled
f:\resycled\ntldr.com
G:\resycled
g:\resycled\ntldr.com

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-14 bis 2009-03-14 ))))))))))))))))))))))))))))))
.

2009-03-14 14:55 . 2009-03-14 14:55 <DIR> d-------- c:\programme\Techland
2009-03-13 14:14 . 2009-03-14 15:27 <DIR> d-------- c:\programme\FindyKill
2009-03-13 14:14 . 2009-03-13 14:14 <DIR> d-------- c:\programme\Avira GmbH
2009-03-12 18:11 . 2009-03-12 18:11 118 --a------ c:\windows\system32\MRT.INI
2009-03-12 15:10 . 2009-03-12 15:10 580,096 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-03-12 15:09 . 2009-03-12 15:09 <DIR> d-------- c:\windows\ERUNT
2009-03-12 14:58 . 2009-03-12 15:16 <DIR> d-------- C:\SDFix
2009-03-11 16:18 . 2009-03-11 16:18 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-03-11 16:18 . 2009-03-11 16:18 <DIR> d-------- c:\dokumente und einstellungen\Huraz\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-11 16:18 . 2009-03-11 16:18 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-11 16:17 . 2009-03-11 16:17 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-03-11 13:48 . 2009-03-11 13:48 <DIR> d-------- c:\dokumente und einstellungen\Huraz\Anwendungsdaten\Malwarebytes
2009-03-11 13:47 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-10 14:25 . 2009-03-10 14:25 <DIR> d-------- c:\programme\7-Zip
2009-03-09 15:39 . 2008-04-14 00:15 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2009-03-09 15:39 . 2008-04-14 00:15 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2009-03-08 14:19 . 2009-03-08 14:19 <DIR> d-------- c:\programme\LucasArts
2009-03-08 14:18 . 2009-03-08 14:18 <DIR> d-------- c:\dokumente und einstellungen\Huraz\WINDOWS
2009-03-08 14:18 . 1996-11-06 12:05 302,592 --a------ c:\windows\unin0407.exe
2009-03-08 13:21 . 2009-03-10 20:39 <DIR> d-------- c:\dokumente und einstellungen\Huraz\Anwendungsdaten\vlc
2009-03-08 13:09 . 2009-03-08 13:09 <DIR> d-------- c:\programme\VideoLAN
2009-03-08 01:48 . 2008-04-14 00:15 26,368 --a--c--- c:\windows\system32\dllcache\usbstor.sys
2009-03-07 21:16 . 2009-03-07 21:17 <DIR> d-------- c:\dokumente und einstellungen\Huraz\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2009-03-06 17:22 . 2009-03-06 17:22 <DIR> d-------- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-03-06 17:22 . 2009-03-06 17:22 <DIR> d-------- c:\programme\DVDVideoSoft
2009-03-06 17:22 . 2002-01-05 14:37 344,064 --a------ c:\windows\system32\msvcr70.dll
2009-03-03 14:40 . 2009-03-03 14:40 5,208 --a------ c:\windows\system32\pid.PNF
2009-03-03 13:55 . 2008-12-20 23:30 6,066,688 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-03-03 13:55 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-03-03 13:55 . 2007-03-08 06:09 1,040,384 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-03-03 13:55 . 2008-12-20 23:31 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-03-03 13:55 . 2008-12-20 23:30 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-03-03 13:55 . 2008-12-20 23:30 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-03-03 13:55 . 2008-12-20 23:30 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-03-03 13:55 . 2008-12-20 23:31 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-03-03 13:55 . 2008-12-19 10:10 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2009-03-03 13:48 . 2009-02-09 15:04 1,846,912 -----c--- c:\windows\system32\dllcache\win32k.sys
2009-03-03 13:47 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-03-03 13:47 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-03-03 13:47 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-03-03 13:47 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-03-03 13:45 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-03-03 13:45 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
2009-03-03 13:44 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
2009-03-03 13:44 . 2008-05-01 15:34 331,776 -----c--- c:\windows\system32\dllcache\msadce.dll
2009-03-03 13:43 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
2009-03-02 20:47 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2009-03-02 20:46 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2009-03-02 20:46 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-03-02 19:36 . 2009-03-02 19:36 <DIR> d-------- c:\programme\ICQ6Toolbar
2009-03-02 19:36 . 2009-03-02 19:36 <DIR> d-------- c:\programme\CCleaner
2009-03-02 19:36 . 2009-03-02 19:36 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-03-02 19:34 . 2009-03-14 12:29 <DIR> d-------- c:\dokumente und einstellungen\Huraz\Anwendungsdaten\ICQ
2009-03-02 19:33 . 2009-03-09 14:32 <DIR> d-------- c:\programme\ICQ6.5
2009-03-02 19:19 . 2009-03-02 19:19 <DIR> d-------- c:\programme\Trend Micro
2009-03-02 19:15 . 2009-03-12 13:25 <DIR> d--h----- c:\windows\$hf_mig$
2009-03-02 19:10 . 2009-03-07 11:23 <DIR> d-------- c:\programme\EA GAMES
2009-03-02 19:10 . 2004-08-18 09:34 442,368 -ra------ c:\windows\system32\vp6vfw.dll
2009-03-02 18:58 . 2009-03-02 18:58 <DIR> d-------- c:\dokumente und einstellungen\Huraz\Anwendungsdaten\T-Online
2009-03-02 18:58 . 2009-03-02 18:58 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\T-Online
2009-03-02 18:58 . 2009-03-02 18:58 56,402 --a------ c:\windows\system32\NULL
2009-03-02 18:57 . 2009-03-02 18:57 <DIR> d-------- c:\programme\T-Online
2009-03-02 18:57 . 2009-03-02 18:57 <DIR> d-------- c:\programme\Gemeinsame Dateien\Marmiko Shared
2009-03-02 18:56 . 2009-03-02 18:56 <DIR> d--hs---- c:\windows\ftpcache
2009-03-02 18:56 . 2009-03-02 18:56 <DIR> d-------- c:\programme\Gemeinsame Dateien\SWF Studio
2009-03-02 18:56 . 2004-07-24 02:28 57,344 --a------ c:\windows\system32\vuins32.dll
2009-03-02 18:56 . 2004-07-24 02:17 42,496 --a------ c:\windows\system32\drivers\fetnd5b.sys
2009-03-02 18:56 . 2003-07-19 01:10 7,040 -ra------ c:\windows\system32\ntsim.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-13 13:14 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-02 13:43 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-02 13:34 --------- d-----w c:\programme\Avira
2009-03-02 13:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-02 13:16 --------- d-----w c:\programme\ATI Technologies
2009-03-02 13:13 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-03-02 13:11 --------- d-----w c:\programme\VIA
2009-03-02 13:11 --------- d-----w c:\programme\Analog Devices
2009-03-02 12:58 --------- d-----w c:\programme\microsoft frontpage
2009-03-02 12:57 --------- d-----w c:\programme\Online-Dienste
2009-03-02 12:57 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-09 14:04 1,846,912 ----a-w c:\windows\system32\win32k.sys
2008-12-20 22:31 826,368 ----a-w c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-03-01 172792]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-02-17 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RaidTool"="c:\programme\VIA\RAID\raid_tool.exe" [2005-04-28 589824]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-04-01 1368064]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-12-12 335872]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\patchget.dat"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2009-03-02 22336]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [2006-07-05 63352]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2009-03-02 45376]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-02-17 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-02-17 55024]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2009-03-02 61440]
R3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2009-03-02 17536]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2009-03-02 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2009-03-02 17152]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-02-17 7408]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\ntldr.com f:
\Shell\Open\command - "resycled\n
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-14 17:28:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RaidTool = c:\programme\VIA\RAID\raid_tool.exe????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(692)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-03-14 17:29:31
ComboFix-quarantined-files.txt 2009-03-14 16:29:25

Vor Suchlauf: 8 Verzeichnis(se), 64.362.131.456 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 64,359,440,384 Bytes frei

164 --- E O F --- 2009-03-12 17:11:38

Jig Saw · 14.03.2009, 18:50

Lade zusätzlich die Dateien

Code:

ATTFilter

C:\DOKUME~1\Huraz\LOKALE~1\Temp\tplmznad.exe

bei folgender Adresse hoch:

Submit your sample

Gib bei Avira als Namen diesen Link an: http://www.trojaner-board.de/70889-v...3-players.html

Die Auswertung wird 1-2 Tage dauern, gib dann bitte den Link zu der Auswertung zu der Datei.

Seit wann gabs die Probleme? (Datum)

Killtrojans · 15.03.2009, 14:53

Dieses Forum ist wie gesagt TOP!! danke nochmal für alles... ich würde die datei "C:\DOKUME~1\Huraz\LOKALE~1\Temp\tplmznad.exe" gerne bei avira hocladen aber wenn ich das will (auf durchsuchen gehe und das dann einfüge) kommt eine fehlermeldung "C:\DOKUME~1\Huraz\LOKALE~1\Temp\tplmznad.exe konnte nicht gefunden werden .....) was nun?

Jig Saw · 15.03.2009, 17:02

ok, hab mich mit einem Profi abgesprochen (danke

)

also schaue in diesem Ordner nach:

Code:

ATTFilter

C:\DOKUME~1\Huraz\LOKALE~1\Temp\

nach .exe Dateien lade sie bei Avira hoch

zusätzlich auch noch hier hochladen:

Malwarebytes.org

ich brauch noch das Datum siehe meinen letzten Post

Killtrojans · 15.03.2009, 21:18

gut das klappt schon besser

nur ein Problem gibt es... es gibt mehrere exe dateien(C:\DOKUME~1\Huraz\LOKALE~1\Temp\is_26.exe,C:\DOKUME~1\Huraz\LOKALE~1\Temp\Autorun.exe,C:\DOKUME~1\Huraz\LOKALE~1\Temp\SSUPDATE.exe... welche ist es nun??

Jig Saw · 15.03.2009, 21:21

Kannst du mal alle aufzählen?

Da ist noch was drauf, das müssen wir beseitigen. Du willst dich nicht, dass dann plötzlich irgendwann dein Konto leer ist

Außerdem du hast doch gesagt Avira hat angeschlagen, könntest du alle Logs posten?

unten rechts auf den Regenschirm => Ereignisse/Berichte

Gmer

Donwloade Gmer
Entpacke es auf dem Desktop
Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
Schließe bitte alle Anwendungen, auch das Antivirusprogramm
Starte den Scan mit GMER mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
Beende GMER mit "OK"

Jig Saw · 15.03.2009, 22:57

OK kann leider nicht mehr editieren, mach aber das:

CCleaner

Downloade CCleaner und speichere die Datei auf dem Desktop
Doppelklick auf die Instalationsdatei => mit "Ausführen" bestätigen" => "Deutsch" als Sprache wählen
Auf "weiter >" klicken, falls die Lizenzbedingungen zustimmen, dann auf "annehmen" drücken
Das angegebene Zielverzeichnis mit "weiter >" bestätigen
Den Haken bei Yahoo Toolbar wegnehmen => dann "installieren" => auf "fertig stellen" klicken um die Instalation abzuschließen
Mit Doppelklick CCleaner öffnen
Den Browser schließen => auf "Analysieren" klicken => auf Starte "CCleaner"
"Registry" wählen => auf "Nach Fehlern suchen" klicken => auf "Fehler beheben" klicken
Diese Prozedur bei jedem Benutzerkonto durchführen
Dann einen Neustart machen

schaue nun in dem Ordner wieder nach:

Code:

ATTFilter

C:\DOKUME~1\Huraz\LOKALE~1\Temp\

und lade jede Datei hoch bei Virustotal

erosol · 16.03.2009, 09:42

****Downloads bitte immer nur vom Hersteller direkt oder anderen geprüften Webseiten****

Sunny

Jig Saw · 16.03.2009, 16:50

Ach wollte erosol den Link geben für CCleaner weil der in meiner Anleitung tot ist?
hier ist der richtige: CCleaner 2

15.03.2009, 17:02	#19
Jig Saw /// Helfer-Team	Viren nach anschließen eines MP3-Players ok, hab mich mit einem Profi abgesprochen (danke ) also schaue in diesem Ordner nach: Code: ATTFilter C:\DOKUME~1\Huraz\LOKALE~1\Temp\ nach .exe Dateien lade sie bei Avira hoch zusätzlich auch noch hier hochladen: Malwarebytes.org ich brauch noch das Datum siehe meinen letzten Post __________________ A fool with a tool is still a fool

16.03.2009, 16:50	#24
Jig Saw /// Helfer-Team	Viren nach anschließen eines MP3-Players Ach wollte erosol den Link geben für CCleaner weil der in meiner Anleitung tot ist? hier ist der richtige: CCleaner 2 __________________ A fool with a tool is still a fool

Viren nach anschließen eines MP3-Players

Plagegeister aller Art und deren Bekämpfung: Viren nach anschließen eines MP3-Players