Viren nach anschließen eines MP3-Players

Killtrojans · 10.03.2009, 21:15

Guten Tag, ich hatte gerade kurz zuvor den MP3-Players meiner schwester am Pc angeschlossen und schon fing Antivir an anzuschlagen er meldete mir folgende Funde "TR/Patched.DY.1","TR/Dropper.Gen","TR/Rootkit.Gen",TR/Crypt.XPACK.Gen" und "RKIT/TDss.ibn".. Warum so viele unterschiedliche? und wie kann das sein? ich bitte um HIlfe denn ich habe erst vor kurzem mein gesamtes System neu aufgestezt hier noch ein Hijack-Log-file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:14:48, on 10.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\VideoLAN\VLC\vlc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C924252-2A3B-4B7B-AB2D-6128A711ABAF}: NameServer = 217.237.150.115 217.237.151.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{5C924252-2A3B-4B7B-AB2D-6128A711ABAF}: NameServer = 217.237.150.115 217.237.151.205
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5205 bytes

Danke für jede Hilfe

Lg Dave

Killtrojans · 11.03.2009, 13:39

...ich habe eben meinen pc hochgefahren und gemerkt,d as ich nicht mehr auf meine festplatten zugreifen kann

hat denn keiner eine Lösung?

Ghost1975 · 11.03.2009, 14:10

Hi Killtrojans

was heißt das genau:

Zitat:

ich habe eben meinen pc hochgefahren und gemerkt,das ich nicht mehr auf meine festplatten zugreifen kann hat denn keiner eine Lösung?

-Kommst du nur nicht in dein Benutzerkonto rein?(gehts im Abgesicherten Modus?)
-Klappt nur der Zugriff zu Festplatte z.B. D: nicht?

Lade Dir mal bitte Malwarebytes Anti-Malware runter (updaten nicht vergessen)und Poste das Ergebnis des Komplettscans.

Zu deinem HijackThis Log kann ich nicht viel Sagen da ich in dem Gebiet nicht allzuviel Ahnung habe,das sollten sich lieber die Experten Ansehen.

MfG

Ghost1975

Killtrojans · 11.03.2009, 14:18

Danke für die schnelle Antwort... doch Hochfahren und alles andere funktioniert. Ich kan nur nicht Auf meine festplatten zugreifen .. antimalewarebytes hat außerdem den Trojaner TR.DNSCHanger gefunden hier das log:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1835
Windows 5.1.2600 Service Pack 3

11.03.2009 14:14:14
mbam-log-2009-03-11 (14-14-10).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 87932
Laufzeit: 24 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> No action taken.

Infizierte Dateien:
C:\autorun.inf (Trojan.DNSChanger) -> No action taken.
C:\resycled\ntldr.com (Trojan.DNSChanger) -> No action taken.

Jig Saw · 11.03.2009, 14:20

Zitat:

C:\resycled\ntldr.com (Trojan.DNSChanger) -> No action taken.

MBAM updaten nochmal laufen lassen, dann alle Funde löschen lassen.

Bei der Bereinigung alle externen Speicherträger anstecken und angesteckt lassen!

Lass mal SUPERAntiSpyware drüberlaufen und dann nochmal einen HJT

Killtrojans · 11.03.2009, 16:58

Danke für die Hilfe Der Trojaner ist nun anscheinend weg, da antimalwarebytes und superantimalware nichts gefunden haben außer ein paar infizierte coockies(superantimalware) hier das HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55:43, on 11.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\VideoLAN\VLC\vlc.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C924252-2A3B-4B7B-AB2D-6128A711ABAF}: NameServer = 217.237.150.115 217.237.151.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{5C924252-2A3B-4B7B-AB2D-6128A711ABAF}: NameServer = 217.237.150.115 217.237.151.205
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5365 bytes

Jig Saw · 11.03.2009, 17:05

Benutzt du den Rechner geschäftlich?

Das Log schau ich mir nacher an.

Ich will zu Sicherheit den Logfile von SUPERAntiSpyware sehen

Deaktivieren der Systemwiederherstellung

Windows XP:

Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
Wähle den Reiter "Systemwiederherstellung"
Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
Jetzt den PC booten, der Start kann eine Weile dauern
Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

Donwloade Gmer
Entpacke es auf dem Desktop
Trenne dich physikalisch vom Internet (Lan Kabel ziehen)
Schließe bitte alle Anwendungen, auch das Antivirusprogramm
Starte den Scan mit GMER mit "Scan", mache in der Zeit nichts auch keine Mausbewegungen und Tastatureingaben
Ist der Scan fertig, klicke auf "Copy" und poste dann hier deine Anwort in dem du den Log reinkopierst
Beende GMER mit "OK"

Killtrojans · 11.03.2009, 19:14

soo hier der Scan von Gmer:

GMER 1.0.15.14878 - http://www.gmer.net
Rootkit scan 2009-03-11 19:10:42
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.15 ----

SSDT BAEA218C ZwCreateThread
SSDT BAEA2178 ZwOpenProcess
SSDT BAEA217D ZwOpenThread
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xA2002F20]
SSDT BAEA2182 ZwWriteVirtualMemory

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- EOF - GMER 1.0.15 ----

danke für die Hilfe

lg Dave

Jig Saw · 11.03.2009, 20:41

Avira updaten und einen Scan machen.

Gibt es noch irgendwas? Gibt es noch Auffälligkeiten?

SDFix anwenden:

Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
Bennene die Datei in asdf.com um. Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
Gib ein Y ein, um den Reinigungsprozess zu beginnen.
Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

Killtrojans · 12.03.2009, 15:21

Dieses Forum ist sehr gut

ich werde es weiterempfehlen.. also es ist alles soweit in ordnung außer das ich meine zweite festplatte immer noch nicht öffnenn kann. Aber meine hauptfestplatte wo widnows drauf ist lässt sich ohne probleme öffnen

hier das log von SDfix

SDFix: Version 1.240
Run by Huraz on 12.03.2009 at 15:10

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-12 15:15:33
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ6.5\\ICQ.exe"="C:\\Programme\\ICQ6.5\\ICQ.exe:*:Enabled:ICQ6"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :

Files with Hidden Attributes :

Finished!

und hier das HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:20:11, on 12.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C924252-2A3B-4B7B-AB2D-6128A711ABAF}: NameServer = 217.237.150.115 217.237.151.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{5C924252-2A3B-4B7B-AB2D-6128A711ABAF}: NameServer = 217.237.150.115 217.237.151.205
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5363 bytes

Jig Saw · 12.03.2009, 17:22

deinstalliere bitte die ICQ Toolbar.

Avira AntiRootkit Tool

Downloade Avira AntiRootkit Tool von >>hier<< oder >>hier<< und speichere es auf dem Desktop
Entpacke und installiere es
Start => Avira RootKit Detection
Versichere, dich dass alle Kästchen einen Hacken haben außer "Fast Scan"
Schließe nun alle Programme auch dein AV-Prog und trenne dich physikalisch von der Internet Verbindung
Falls Rootkits gefunden wurden klicke auf "Quarantine all" danach 2 mal "OK"
Klicke auf View report und kopiere den gesamten Text und speichere den gesamten Text als eine Textdatei
Boote den PC neu und danach noch einmal einen Scan durchführen
den report jetzt posten

Blacklight scannen lassen

Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
Klick "I accept the agreement", "next", "Scan".
Wenn der Scan fertig ist beende Blacklight mit "Close".
Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

FindyKill - Bereinigung

**Falls Du seit der Infektion USB-Sticks, externe Festplatten oder Flash-Karten benutzt hast, schließe diese unbedingt an den Rechner an, damit auch diese bereinigt werden.(über die ganze Reinigungszeit!!) FindyKill ist ein französischsprachiges Programm, geeignet für WindowsXP und Vista.

Falls noch nicht vorhanden, lade FindyKill.exe von hier ****herunter und speichere die Datei auf dem Desktop. Mache einen Doppelklick auf die Datei, um FindyKill zu installieren, akzeptiere die Nutzungsbedingungen (I agree with the above terms and conditions anhaken) und installiere das Programm in den vorgegebenen Pfad (C:\Programme\FindyKill). Beantworte die Frage, ob dort der Ordner FindyKill angelegt werden soll mit Ja und starte die Installation.

* Doppelklicke das FindyKill-Icon auf dem Desktop.
* Vista-User starten mit Rechtsklick und als Administrator!
* Es öffnet sich ein DOS-Fenster.
* Wähle "F" + Entertaste,
* im nächsten Screen die "2" + Entertaste, um die Bereinigung der Infektionen zu starten.
* Wenn der Scan beginnt, wird FindyKill eine Warnung anzeigen, dass Windows evtl. neu gestartet werden muss, akzeptiere das mit OK.
* Es wird eine Datenträgerbereinigung durchgeführt.
* Wenn der Suchlauf beendet ist, siehst Du (ggfs. nach Neustart) im DOS-Fenster den Hinweis "Nettoyage effetuee!".
* Das Fenster schließen.
* Poste den Bericht, der unter C:\FindyKill.txt zu finden ist, hier in den Thread.

****http://virus-protect.org/artikel/tools/findykill.html

Dann sagen ob du wieder auf deine Festplatte zugreiffen kannst. Seit wann hast du die Probleme?

Jig Saw · 12.03.2009, 22:10

vergiss ja nicht den MP3 Player angesteckt zu lassen während der Bereinigung! Steck ihn an und drücke gleichzeitig die Shift Taste.

Killtrojans · 14.03.2009, 15:38

Danke nochmal für die Hilfe

kann wieder auf beide partitionen zugreifen und ich hab nicht vergessen den mp3 playyer angesteckt zu lassen:P hier das log von findykill:

############################## [ FindyKill V4.720 ]

# User : Huraz (Administratoren) # CHRISTUS-SZ71L7
# Update on 12/03/09 by Chiquitine29
# Start at: 15:21:09 | 14.03.2009

# AMD Sempron(tm) Processor 2600+
# Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition 8.0.1.30 [ (!) Disabled | Updated ]

# A:\ # 3,5 Zoll-Diskettenlaufwerk
# C:\ # Lokale Festplatte # 74,52 Go (60,13 Go free) # NTFS
# D:\ # CD # 4,32 Go (0 Mo free) [CBS05_08] # UDF
# E:\ # CD
# F:\ # Lokale Festplatte # 27,95 Go (20,69 Go free) # NTFS
# G:\ # Wechseldatentr„ger # 232,07 Mo (4,61 Mo free) [CEBRAX] # FAT32

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wpabaln.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## [ Infected Files / Folders C:\ ]

################## [ C:\WINDOWS ]

################## [ C:\WINDOWS\system32 ]

################## [ C:\WINDOWS\system32\drivers ]

################## [ C:\.. Application Data ... ]

################## [ Registry / Infected keys ]

################## [ Cleaning Removable drives ]

# Deleting files :

Not deleted !! - D:\autorun.inf
Deleted ! - G:\autorun.inf

################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ Searching Other Infections ]

# -> Nothing found.

################## [ ! End of Report # FindyKill V4.720 ! ]

hier das von Blacklight:
03/14/09 15:30:19 [Info]: BlackLight Engine 1.0.67 initialized
03/14/09 15:30:19 [Info]: OS: 5.1 build 2600 (Service Pack 3)
03/14/09 15:30:19 [Note]: 7019 4
03/14/09 15:30:19 [Note]: 7005 0
03/14/09 15:30:21 [Note]: 7006 0
03/14/09 15:30:21 [Note]: 7011 2000
03/14/09 15:30:21 [Note]: 7026 0
03/14/09 15:30:22 [Note]: 7026 0
03/14/09 15:30:22 [Note]: FSRAW library version 1.7.1024
03/14/09 15:32:30 [Note]: 7007 0

mit avira rootkit hatte ich so meine Probleme.. das war sofort fertig nachdem ichd as angeklickt habe

und hier das HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:34:03, on 14.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\explorer.exe
C:\Programme\Avira GmbH\Avira RootKit Detection\avirarkd.exe
C:\DOKUME~1\Huraz\LOKALE~1\Temp\tplmznad.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4827 bytes

Jig Saw · 14.03.2009, 15:47

Sehr schön, zur Sicherheit nur noch das:

bitte das bei www.virustotal.com auswerten lassen und mir danach den Link geben:

Code:

ATTFilter

C:\DOKUME~1\Huraz\LOKALE~1\Temp\tplmznad.exe

kennst du das:

Code:

ATTFilter

C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

wenn nicht dann auch auswerten lassen

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Killtrojans · 14.03.2009, 17:42

"C:\DOKUME~1\Huraz\LOKALE~1\Temp\tplmznad.exe" Analyse von Virustotal:
a-squared 4.0.0.101 2009.03.13 -
AhnLab-V3 5.0.0.2 2009.03.13 -
AntiVir 7.9.0.114 2009.03.13 -
Authentium 5.1.0.4 2009.03.12 -
Avast 4.8.1335.0 2009.03.12 -
AVG 8.0.0.237 2009.03.13 -
BitDefender 7.2 2009.03.13 -
CAT-QuickHeal 10.00 2009.03.13 -
ClamAV 0.94.1 2009.03.13 -
Comodo 1053 2009.03.13 -
DrWeb 4.44.0.09170 2009.03.13 -
eSafe 7.0.17.0 2009.03.12 Win32.Banker
eTrust-Vet 31.6.6388 2009.03.09 -
F-Prot 4.4.4.56 2009.03.12 -
F-Secure 8.0.14470.0 2009.03.13 -
Fortinet 3.117.0.0 2009.03.13 -
GData 19 2009.03.13 -
Ikarus T3.1.1.45.0 2009.03.13 -
K7AntiVirus 7.10.668 2009.03.12 -
Kaspersky 7.0.0.125 2009.03.13 -
McAfee 5551 2009.03.12 -
McAfee+Artemis 5551 2009.03.12 -
McAfee-GW-Edition 6.7.6 2009.03.13 -
Microsoft 1.4405 2009.03.13 -
NOD32 3934 2009.03.13 -
Norman 6.00.06 2009.03.12 -
nProtect 2009.1.8.0 2009.03.13 -
Panda 10.0.0.10 2009.03.12 -
PCTools 4.4.2.0 2009.03.13 -
Prevx1 V2 2009.03.13 -
Rising 21.20.42.00 2009.03.13 -
Sophos 4.39.0 2009.03.13 -
Sunbelt 3.2.1858.2 2009.03.13 -
Symantec 1.4.4.12 2009.03.13 -
TheHacker 6.3.3.0.281 2009.03.13 -
TrendMicro 8.700.0.1004 2009.03.13 -
VBA32 3.12.10.1 2009.03.12 -
ViRobot 2009.3.13.1648 2009.03.13 -
VirusBuster 4.5.11.0 2009.03.13 -
weitere Informationen
File size: 360488 bytes
MD5...: 1ef3740105735ed41e744d4c57c9fa7f
SHA1..: 65f0e5ffff80ad4e4a6f61f1145a6432b2c5c9c1
SHA256: 52a24b7f7ac0ba3192f15498af4b3196ffe2c8f22f1872efae518eabf8ab26ed
SHA512: ee7f8e7c0fa40394f2866f6278ee528b2f509befa4369e9c89405f4aecbf138a
78a064084105ef00eaa20add3f0d1a0dde24a8e4cedda4adbbc6ed4a17e7f1ab
ssdeep: 6144:SQJKf0M1nJzIziOQD2qved+thMYl0cnKuIuRwdzlRSwO1+z:RJKt6ziOQKq
vectCYlEMelR01+z
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (59.5%)
Windows Screen Saver (20.6%)
Win32 Executable Generic (13.4%)
Generic Win/DOS Executable (3.1%)
DOS Executable Generic (3.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x138ee
timedatestamp.....: 0x4642e84c (Thu May 10 09:39:24 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x30999 0x31000 6.55 a9840b47c784780a830f5c7343ecd575
.rdata 0x32000 0xdbcc 0xe000 4.86 b1c99d9472fb8c328192f639364937bb
.data 0x40000 0x8994 0x3000 4.61 6fcf2b26e14522be1a5f062ffcbcf2e3
.rsrc 0x49000 0x14320 0x15000 5.25 cd646f234a36b082313f440065e4ee9a

( 14 imports )
> VERSION.dll: VerQueryValueW, GetFileVersionInfoSizeW, GetFileVersionInfoW
> KERNEL32.dll: GetFileType, TerminateProcess, HeapReAlloc, HeapSize, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetCommandLineA, SetHandleCount, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, CreateThread, GetSystemTimeAsFileTime, IsBadWritePtr, LCMapStringA, LCMapStringW, SetUnhandledExceptionFilter, SetStdHandle, GetOEMCP, GetCPInfo, GetTimeZoneInformation, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, CompareStringA, CompareStringW, SetEnvironmentVariableA, ExitThread, HeapAlloc, HeapFree, RtlUnwind, ExitProcess, GetStartupInfoW, GetFileTime, GetFileAttributesW, GetFullPathNameW, FindFirstFileW, FindClose, DuplicateHandle, GetFileSize, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, ReadFile, TlsFree, LocalReAlloc, TlsSetValue, TlsAlloc, TlsGetValue, GlobalHandle, GlobalReAlloc, LocalAlloc, RaiseException, GlobalFlags, InterlockedIncrement, lstrcmpiW, WritePrivateProfileStringW, GlobalFindAtomW, lstrlenA, GetModuleHandleA, LoadLibraryA, lstrcatW, GetVersionExA, InterlockedDecrement, GlobalAddAtomW, FreeResource, SetLastError, GlobalFree, MulDiv, lstrcpynW, LocalFree, lstrlenW, GetCurrentThreadId, MultiByteToWideChar, lstrcmpW, GlobalDeleteAtom, WideCharToMultiByte, ConvertDefaultLocale, GetVersion, EnumResourceLanguagesW, lstrcpyW, GetLocaleInfoW, DeviceIoControl, CreateFileA, GetVersionExW, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, FormatMessageW, EnterCriticalSection, LeaveCriticalSection, OutputDebugStringW, AllocConsole, CreateFileW, WriteFile, DeleteCriticalSection, InitializeCriticalSection, GetLogicalDrives, SetErrorMode, GetVolumeInformationW, GetDriveTypeW, FileTimeToLocalFileTime, FileTimeToSystemTime, GlobalAlloc, GlobalLock, GlobalUnlock, SetThreadPriority, ResumeThread, GetCommandLineW, GetTempPathW, CreateDirectoryW, GetPrivateProfileStringW, GetCurrentProcessId, RemoveDirectoryW, GetShortPathNameW, GetTempFileNameW, CopyFileW, WaitForSingleObject, DeleteFileW, GetTimeFormatW, GetDateFormatW, GetDiskFreeSpaceExW, GetUserDefaultLangID, GetTickCount, FindResourceW, LoadResource, LockResource, SizeofResource, GetModuleHandleW, GetModuleFileNameW, GetCurrentThread, GetCurrentProcess, CreateMutexW, GetLastError, CloseHandle, LoadLibraryW, GetProcAddress, FreeLibrary, QueryPerformanceCounter
> USER32.dll: MessageBeep, GetNextDlgGroupItem, InvalidateRgn, InvalidateRect, CopyAcceleratorTableW, SetRect, IsRectEmpty, CharNextW, CharUpperW, GetSysColorBrush, ReleaseCapture, LoadCursorW, SetCapture, WindowFromPoint, EndPaint, BeginPaint, GetWindowDC, ClientToScreen, GrayStringW, DrawTextExW, DrawTextW, TabbedTextOutW, wsprintfW, WinHelpW, GetCapture, CreateWindowExW, GetClassInfoExW, GetClassLongW, GetClassNameW, SetPropW, GetPropW, RemovePropW, SendDlgItemMessageA, IsChild, GetForegroundWindow, GetTopWindow, GetMessageTime, GetMessagePos, TrackPopupMenu, SetForegroundWindow, UpdateWindow, GetMenu, AdjustWindowRectEx, ScreenToClient, EqualRect, GetClassInfoW, RegisterClassW, UnregisterClassW, DefWindowProcW, CallWindowProcW, IntersectRect, SystemParametersInfoA, PtInRect, GetSysColor, DestroyMenu, UnhookWindowsHookEx, GetWindowTextLengthW, GetWindowTextW, SetFocus, ShowWindow, MoveWindow, SetWindowLongW, GetDlgCtrlID, SetWindowTextW, IsDialogMessageW, SendDlgItemMessageW, GetWindow, SetWindowContextHelpId, MapDialogRect, SetWindowPos, SetMenuItemBitmaps, GetFocus, ModifyMenuW, EnableMenuItem, CheckMenuItem, GetMenuCheckMarkDimensions, LoadBitmapW, SetWindowsHookExW, CallNextHookEx, GetMessageW, TranslateMessage, DispatchMessageW, GetKeyState, PeekMessageW, ValidateRect, GetLastActivePopup, SetCursor, ReleaseDC, GetDC, CopyRect, GetDesktopWindow, GetActiveWindow, SetActiveWindow, CreateDialogIndirectParamW, DestroyWindow, GetWindowLongW, GetDlgItem, IsWindowEnabled, GetParent, PostThreadMessageW, RegisterClipboardFormatW, GetNextDlgTabItem, EndDialog, GetMenuState, GetMenuItemID, GetMenuItemCount, GetSubMenu, PostQuitMessage, wsprintfA, LoadStringW, OffsetRect, RegisterWindowMessageW, EmptyClipboard, CloseClipboard, SetClipboardData, GetCursorPos, IsWindow, GetSystemMetrics, LoadIconW, EnableWindow, OpenClipboard, KillTimer, SetTimer, RedrawWindow, IsWindowVisible, GetClientRect, GetWindowRect, BringWindowToTop, IsIconic, SendMessageW, SetMenuDefaultItem, AppendMenuW, CreatePopupMenu, DrawIcon, ExitWindowsEx, PostMessageW, MessageBoxW, GetWindowPlacement, MapWindowPoints
> GDI32.dll: GetRgnBox, GetViewportExtEx, DeleteObject, GetTextColor, GetBkColor, GetMapMode, GetStockObject, DeleteDC, ExtSelectClipRgn, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, Escape, TextOutW, RectVisible, SelectObject, GetObjectW, GetWindowExtEx, SetMapMode, RestoreDC, SaveDC, SetBkColor, SetTextColor, GetClipBox, ExtTextOutW, CreateBitmap, CreateRectRgnIndirect, GetDeviceCaps, PtVisible
> comdlg32.dll: GetFileTitleW
> WINSPOOL.DRV: OpenPrinterW, DocumentPropertiesW, ClosePrinter
> ADVAPI32.dll: RegOpenKeyW, EqualSid, AllocateAndInitializeSid, GetTokenInformation, OpenProcessToken, OpenThreadToken, DeleteService, CloseServiceHandle, OpenServiceW, OpenSCManagerW, RegCloseKey, RegSetValueExW, RegCreateKeyExW, RegQueryValueW, RegEnumKeyW, RegDeleteKeyW, FreeSid, RegQueryValueExW, LookupPrivilegeValueW, AdjustTokenPrivileges, CreateProcessWithLogonW, CreateServiceW, RegEnumValueW, RegEnumKeyExW, RegOpenKeyExW
> SHELL32.dll: ShellExecuteW, ShellExecuteExW
> COMCTL32.dll: -, ImageList_Destroy
> SHLWAPI.dll: PathFindFileNameW, PathStripToRootW, PathFindExtensionW, PathIsUNCW
> oledlg.dll: OleUIBusyW
> ole32.dll: CLSIDFromString, CLSIDFromProgID, OleIsCurrentClipboard, CoTaskMemFree, CoRevokeClassObject, CoGetClassObject, StgOpenStorageOnILockBytes, StgCreateDocfileOnILockBytes, CreateILockBytesOnHGlobal, OleUninitialize, CoFreeUnusedLibraries, OleInitialize, CoRegisterMessageFilter, OleFlushClipboard, CoTaskMemAlloc
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -
> OLEACC.dll: CreateStdAccessibleObject, LresultFromObject
( 0 exports )

und hier noch von "C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe" :
a-squared 4.0.0.101 2009.03.01 -
AhnLab-V3 5.0.0.2 2009.02.27 -
AntiVir 7.9.0.98 2009.02.28 -
Authentium 5.1.0.4 2009.02.28 -
Avast 4.8.1335.0 2009.02.28 -
AVG 8.0.0.237 2009.03.01 -
BitDefender 7.2 2009.03.01 -
CAT-QuickHeal 10.00 2009.02.28 -
ClamAV 0.94.1 2009.03.01 -
Comodo 986 2009.02.20 -
DrWeb 4.44.0.09170 2009.03.01 -
eSafe 7.0.17.0 2009.02.26 -
eTrust-Vet 31.6.6376 2009.02.27 -
F-Prot 4.4.4.56 2009.02.28 -
F-Secure 8.0.14470.0 2009.03.01 -
Fortinet 3.117.0.0 2009.03.01 -
GData 19 2009.03.01 -
Ikarus T3.1.1.45.0 2009.03.01 -
K7AntiVirus 7.10.649 2009.02.27 -
Kaspersky 7.0.0.125 2009.03.01 -
McAfee 5539 2009.02.28 -
McAfee+Artemis 5539 2009.02.28 -
Microsoft 1.4306 2009.03.01 -
NOD32 3897 2009.02.28 -
Norman 6.00.06 2009.02.27 -
nProtect 2009.1.8.0 2009.02.28 -
Panda 10.0.0.10 2009.02.28 -
PCTools 4.4.2.0 2009.02.28 -
Prevx1 V2 2009.03.01 -
Rising 21.18.62.00 2009.03.01 -
SecureWeb-Gateway 6.7.6 2009.03.01 -
Sophos 4.39.0 2009.03.01 -
Sunbelt 3.2.1858.2 2009.02.28 -
Symantec 10 2009.03.01 -
TheHacker 6.3.2.6.268 2009.03.01 -
TrendMicro 8.700.0.1004 2009.02.27 -
VBA32 3.12.10.1 2009.03.01 -
ViRobot 2009.2.28.1628 2009.02.28 -
VirusBuster 4.5.11.0 2009.02.28 -
weitere Informationen
File size: 61440 bytes
MD5...: 5f9ba398f88fc8928ea6dbd5d144cfca
SHA1..: 6438687fedd5442943e249c5ff8716627db53a2a
SHA256: 6e4d486a3b7900284c527b6fdef89370490a9b15b08b6ef9b905e8faffca9252
SHA512: cab607e9f2e4bf10ed49ab6fd7292fffc3b489acfbfefc6b177657686b3f9204
0f9f82f88d78a7294106871b14149d64940a8f2277eef83ef6c36c59e50b87a2
ssdeep: 768:yI/pm4KNUwnWelM6HC9+ndGnkOLa61av1KKDPMoJKuw:ZktVL+QdGkMJidAo
JK

PEiD..: Armadillo v1.71
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2e8a
timedatestamp.....: 0x45a3b1ba (Tue Jan 09 15:16:10 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7205 0x8000 6.15 692b320962a8972080a6f9d12af1c122
.rdata 0x9000 0xd28 0x1000 4.79 b2e92d1132e38bf0169d38ed43d87ffb
.data 0xa000 0x4308 0x3000 1.34 dd334c36b18589d497049817eb7b1848
.rsrc 0xf000 0x1b28 0x2000 3.46 b919523dd9e5fa5b3908872c70769ad7

( 2 imports )
> KERNEL32.dll: GetTickCount, SetEvent, WaitForSingleObject, CloseHandle, CreateEventA, GetVersion, Sleep, GetLastError, GetModuleFileNameA, RtlUnwind, GetCommandLineA, ExitProcess, HeapFree, HeapAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetModuleHandleA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, WriteFile, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, IsBadCodePtr, VirtualAlloc, HeapReAlloc, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetCPInfo, GetACP, GetOEMCP, GetProcAddress, LoadLibraryA, FlushFileBuffers, SetFilePointer, GetStringTypeA, GetStringTypeW, SetStdHandle
> ADVAPI32.dll: CreateServiceA, ChangeServiceConfigA, QueryServiceConfigA, QueryServiceStatus, RegOpenKeyExA, RegQueryValueExA, ControlService, StartServiceA, RegCreateKeyExA, SetServiceStatus, DeregisterEventSource, CloseServiceHandle, OpenServiceA, OpenSCManagerA, RegCloseKey, RegSetValueExA, RegCreateKeyA, DeleteService, RegDeleteKeyA, ReportEventA, RegisterEventSourceA, StartServiceCtrlDispatcherA, RegisterServiceCtrlHandlerA

( 0 exports )

diese Datei scheint aber in ORdnung zu sein... hier noch das LOg von Combofix....

12.03.2009, 22:10	#12
Jig Saw /// Helfer-Team	Viren nach anschließen eines MP3-Players vergiss ja nicht den MP3 Player angesteckt zu lassen während der Bereinigung! Steck ihn an und drücke gleichzeitig die Shift Taste. __________________ A fool with a tool is still a fool

Viren nach anschließen eines MP3-Players

Plagegeister aller Art und deren Bekämpfung: Viren nach anschließen eines MP3-Players