Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.

john.doe · 11.03.2009, 20:54

Nö, ich poste nur, weil ich ja sonst nichts besseres zu tun habe.

ciao, andreas

TheFiddler · 11.03.2009, 21:13

Entschuldige meine Planlosigkeit, John!
Was muss ich jetzt tun? Bin ich jetzt clean?

Hier das Log-File:

ComboFix 09-03-10.03 - Andrea 2009-03-11 21:05:47.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1022.768 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Andrea\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\Andrea\LOKALE~1\Temp\tmp1.tmp
c:\dokume~1\Andrea\LOKALE~1\Temp\tmp2.tmp
c:\windows\system32\drivers\gaopdxxiuyxmftilrlovdkrwkpaswdhabwexvk.sys
c:\windows\system32\drivers\npf.sys
c:\windows\system32\gaopdxoptmpfulneslbxxyvbnhpfumpixdqwmi.dll
c:\windows\system32\packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gaopdxserv.sys
-------\Legacy_ICF
-------\Service_ICF
-------\Service_NPF

((((((((((((((((((((((( Dateien erstellt von 2009-02-11 bis 2009-03-11 ))))))))))))))))))))))))))))))
.

2009-03-11 21:09 . 2009-03-11 21:09 <DIR> d--hs---- C:\FOUND.000
2009-03-11 19:44 . 2009-03-11 19:44 34,816 --a------ c:\windows\system32\drivers\gaopdxvimpulqgkoewqbomtkltqylyfyfsgodx.sys
2009-03-11 19:07 . 2009-03-11 19:07 <DIR> d-------- c:\programme\Trend Micro
2009-03-11 18:27 . 2009-03-11 18:27 <DIR> d-------- c:\programme\CCleaner
2009-03-11 00:14 . 2009-03-11 00:14 <DIR> d-------- c:\programme\a-squared Free
2009-03-10 23:54 . 2009-03-10 23:54 <DIR> d-------- c:\programme\Lavasoft
2009-03-10 23:22 . 2009-03-10 23:22 <DIR> d-------- c:\programme\Autorun Eater
2009-03-10 22:53 . 2009-03-10 23:03 34,816 --a------ c:\windows\system32\drivers\gaopdxaukirflngwuhtabeyxmycpkboeitprqx.sys
2009-03-10 22:47 . 2009-03-10 22:47 0 --a------ c:\windows\system32\8104297.jun
2009-03-10 22:46 . 2009-03-10 22:46 <DIR> d-------- c:\programme\Browser Hijack Recover
2009-03-10 22:13 . 2009-03-11 21:04 4 --a------ c:\windows\system32\gaopdxcounter
2009-03-10 21:02 . 2009-03-10 21:02 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
2009-03-10 21:00 . 2009-03-10 21:00 <DIR> d-------- c:\dokumente und einstellungen\Andrea\Anwendungsdaten\DAEMON Tools Pro
2009-03-10 21:00 . 2009-03-10 21:00 717,296 --a------ c:\windows\system32\drivers\sptd.sys
2009-03-08 14:24 . 2009-03-08 14:24 <DIR> d-------- c:\windows\system32\LogFiles
2009-03-08 01:08 . 2009-03-08 01:08 <DIR> d-------- c:\dokumente und einstellungen\Andrea\Anwendungsdaten\OpenOffice.org
2009-03-07 19:03 . 2009-03-07 19:03 <DIR> d-------- C:\Filme Timo
2009-03-05 17:57 . 2004-08-04 05:00 26,496 --a------ c:\windows\system32\dllcache\usbstor.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-19 16:07 --------- d-----w c:\dokumente und einstellungen\Andrea\Anwendungsdaten\AdobeUM
2009-01-06 14:57 499,712 ----a-w c:\windows\system32\msvcp71.dll
2009-01-06 14:57 348,160 ----a-w c:\windows\system32\msvcr71.dll
2008-12-28 13:18 21,840 ----a-w c:\windows\system32\SIntfNT.dll
2008-12-28 13:18 17,212 ----a-w c:\windows\system32\SIntf32.dll
2008-12-28 13:18 12,067 ----a-w c:\windows\system32\SIntf16.dll
2008-12-27 20:47 2,829 ----a-w c:\windows\DIIUnin.pif
2008-12-27 20:47 102,400 ----a-w c:\windows\DIIUnin.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-02-07 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-02-07 126976]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-07 98394]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-07 688218]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PCMService"="c:\programme\Arcade\PCMService.exe" [2005-03-09 49152]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-08 339968]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-01-06 185872]
"epm-dm"="c:\acer\epm\epm-dm.exe" [2005-03-28 188416]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

R2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2007-05-11 4096]
R2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2007-05-11 78208]
R2 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2007-05-11 7296]
R2 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2007-05-11 4010]
.
Inhalt des "geplante Tasks" Ordners

2009-03-10 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []
.
.
------- Zusätzlicher Suchlauf -------
.
mWindow Title =
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
FF - ProfilePath - c:\dokumente und einstellungen\Andrea\Anwendungsdaten\Mozilla\Firefox\Profiles\6jm0utt4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-11 21:09:49
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys]
"imagepath"="\systemroot\system32\drivers\gaopdxefyrxoyoxovkjkdxlvjlqeohddqunmwo.sys"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys]
@DACL=(02 0000)
"start"=dword:00000001
"type"=dword:00000001
"group"="file system"
"imagepath"=expand:"\\systemroot\\system32\\drivers\\gaopdxefyrxoyoxovkjkdxlvjlqeohddqunmwo.sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(968)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\a-squared Free\a2service.exe
c:\acer\eManager\anbmServ.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-11 21:10:50 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-11 20:10:50

Vor Suchlauf: 18 Verzeichnis(se), 87,099,473,920 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 87,070,441,472 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

150

john.doe · 11.03.2009, 21:38

Zitat:

Bin ich jetzt clean?

Nein, noch lange nicht. Seit wann hast du Probleme?

Zitat:

Was muss ich jetzt tun?

Du bekommst schon Anweisungen, immer mit der Ruhe. Alter Mann ist doch kein D-Zug.

Zitat:

Entschuldige meine Planlosigkeit, John!

Kein Problem. Timo oder Andrea?

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

File::
c:\windows\Tasks\Ad-Aware Update (Weekly).job
c:\windows\system32\drivers\gaopdxvimpulqgkoewqbomtkltqylyfyfsgodx.sys
c:\windows\system32\drivers\gaopdxaukirflngwuhtabeyxmycpkboeitprqx.sys
c:\windows\system32\8104297.jun
c:\windows\system32\gaopdxcounter

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"=-
"MSPY2002"=-
"PHIME2002ASync"=-
"PHIME2002A"=-
"TkBellExe"=-

RegLockDel::
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gaopdxserv.sys]

DirLook::
C:\FOUND.000
C:\Filme Timo
c:\windows\system32\LogFiles

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

TheFiddler · 11.03.2009, 21:47

Ich hab's mit der rechten Maustaste draufgezogen, dann kam "Öffnen mit", ich hoffe es hat geklappt.
Unten die (hoffentlich) neue Log-File:

Völlig verängstigt,
Timo & Andrea

ComboFix 09-03-10.03 - Andrea 2009-03-11 21:42:40.2 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1022.719 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Andrea\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Andrea\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\windows\system32\8104297.jun
c:\windows\system32\drivers\gaopdxaukirflngwuhtabeyxmycpkboeitprqx.sys
c:\windows\system32\drivers\gaopdxvimpulqgkoewqbomtkltqylyfyfsgodx.sys
c:\windows\system32\gaopdxcounter
c:\windows\Tasks\Ad-Aware Update (Weekly).job
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\8104297.jun
c:\windows\system32\drivers\gaopdxaukirflngwuhtabeyxmycpkboeitprqx.sys
c:\windows\system32\drivers\gaopdxvimpulqgkoewqbomtkltqylyfyfsgodx.sys
c:\windows\system32\gaopdxcounter
c:\windows\Tasks\Ad-Aware Update (Weekly).job

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-11 bis 2009-03-11 ))))))))))))))))))))))))))))))
.

2009-03-11 21:09 . 2009-03-11 21:09 <DIR> d--hs---- C:\FOUND.000
2009-03-11 19:07 . 2009-03-11 19:07 <DIR> d-------- c:\programme\Trend Micro
2009-03-11 18:27 . 2009-03-11 18:27 <DIR> d-------- c:\programme\CCleaner
2009-03-11 00:14 . 2009-03-11 00:14 <DIR> d-------- c:\programme\a-squared Free
2009-03-10 23:54 . 2009-03-10 23:54 <DIR> d-------- c:\programme\Lavasoft
2009-03-10 23:22 . 2009-03-10 23:22 <DIR> d-------- c:\programme\Autorun Eater
2009-03-10 22:46 . 2009-03-10 22:46 <DIR> d-------- c:\programme\Browser Hijack Recover
2009-03-10 21:02 . 2009-03-10 21:02 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
2009-03-10 21:00 . 2009-03-10 21:00 <DIR> d-------- c:\dokumente und einstellungen\Andrea\Anwendungsdaten\DAEMON Tools Pro
2009-03-10 21:00 . 2009-03-10 21:00 717,296 --a------ c:\windows\system32\drivers\sptd.sys
2009-03-08 14:24 . 2009-03-08 14:24 <DIR> d-------- c:\windows\system32\LogFiles
2009-03-08 01:08 . 2009-03-08 01:08 <DIR> d-------- c:\dokumente und einstellungen\Andrea\Anwendungsdaten\OpenOffice.org
2009-03-07 19:03 . 2009-03-07 19:03 <DIR> d-------- C:\Filme Timo
2009-03-05 17:57 . 2004-08-04 05:00 26,496 --a------ c:\windows\system32\dllcache\usbstor.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-19 16:07 --------- d-----w c:\dokumente und einstellungen\Andrea\Anwendungsdaten\AdobeUM
2009-01-06 14:57 499,712 ----a-w c:\windows\system32\msvcp71.dll
2009-01-06 14:57 348,160 ----a-w c:\windows\system32\msvcr71.dll
2008-12-28 13:18 21,840 ----a-w c:\windows\system32\SIntfNT.dll
2008-12-28 13:18 17,212 ----a-w c:\windows\system32\SIntf32.dll
2008-12-28 13:18 12,067 ----a-w c:\windows\system32\SIntf16.dll
2008-12-27 20:47 2,829 ----a-w c:\windows\DIIUnin.pif
2008-12-27 20:47 102,400 ----a-w c:\windows\DIIUnin.exe
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\Filme Timo ----

2008-10-24 16:53 731340800 --a------ c:\filme timo\Willkommen.bei.den.Schtis.DVDSCR.MD.German.XViD-NTG\ntg-schtis_xvid.avi
2008-09-04 11:03 8460 --a------ c:\filme timo\The.Dark.Knight.DVDSCREENER.Line.Dubbed.German.XviD-VCF\vcf-dark.nfo
2008-09-03 21:38 732327936 --a------ c:\filme timo\The.Dark.Knight.DVDSCREENER.Line.Dubbed.German.XviD-VCF\vcf-dark-b.avi
2008-09-03 21:37 735055872 --a------ c:\filme timo\The.Dark.Knight.DVDSCREENER.Line.Dubbed.German.XviD-VCF\vcf-dark-a.avi
2007-10-14 01:29 626200576 --a------ c:\filme timo\Ratatouille.DVDRip.Line.Dubbed.German.iNTERNAL.XviD-VCF\vcf-rat_b.avi
2007-10-14 01:10 627058688 --a------ c:\filme timo\Ratatouille.DVDRip.Line.Dubbed.German.iNTERNAL.XviD-VCF\vcf-rat_a.avi

---- Directory of C:\FOUND.000 ----

2009-03-11 21:09 65536 --------- c:\found.000\FILE0028.CHK
2009-03-11 21:09 65536 --------- c:\found.000\FILE0002.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0029.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0027.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0025.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0024.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0023.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0022.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0021.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0020.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0019.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0018.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0017.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0016.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0015.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0014.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0013.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0012.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0011.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0010.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0009.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0008.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0007.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0006.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0005.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0004.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0003.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0001.CHK
2009-03-11 21:09 32768 --------- c:\found.000\FILE0000.CHK
2009-03-11 21:09 163840 --------- c:\found.000\FILE0026.CHK

---- Directory of c:\windows\system32\LogFiles ----

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-02-07 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-02-07 126976]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-07 98394]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-07 688218]
"PCMService"="c:\programme\Arcade\PCMService.exe" [2005-03-09 49152]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-08 339968]
"epm-dm"="c:\acer\epm\epm-dm.exe" [2005-03-28 188416]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

R2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2007-05-11 4096]
R2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2007-05-11 78208]
R2 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2007-05-11 7296]
R2 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2007-05-11 4010]
.
.
------- Zusätzlicher Suchlauf -------
.
mWindow Title =
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
FF - ProfilePath - c:\dokumente und einstellungen\Andrea\Anwendungsdaten\Mozilla\Firefox\Profiles\6jm0utt4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-11 21:44:31
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(904)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\SYSTEM32\ATI2EVXX.EXE
c:\programme\INTEL\WIRELESS\BIN\EVTENG.EXE
c:\programme\INTEL\WIRELESS\BIN\S24EVMON.EXE
c:\windows\SYSTEM32\ATI2EVXX.EXE
c:\programme\A-SQUARED FREE\A2SERVICE.EXE
c:\acer\EMANAGER\ANBMSERV.EXE
c:\programme\WIDCOMM\BLUETOOTH SOFTWARE\BIN\BTWDINS.EXE
c:\programme\INTEL\WIRELESS\BIN\REGSRVC.EXE
c:\windows\SYSTEM32\WDFMGR.EXE
c:\windows\SYSTEM32\WSCNTFY.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-11 21:45:27 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-11 20:45:26
ComboFix2.txt 2009-03-11 20:10:52

Vor Suchlauf: 18 Verzeichnis(se), 87.052.255.232 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 87,038,820,352 Bytes frei

161

john.doe · 11.03.2009, 22:00

1.) Deinstalliere:

AdAware
A-Squared
Autorun Eater
Browser Hijack Recover

2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

c:\windows\system32\drivers\osaio.sys
c:\windows\system32\drivers\osanbm.sys

Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann klicke trotzdem auf Analysieren.

ciao, andreas

Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.

Log-Analyse und Auswertung: Trojaner gezogen? Bluescreens, kein Zugriff auf C:, etc.