Warning Security Report / Sicherheitscenter deaktiviert

saar_ripper · 20.03.2009, 13:59

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:52:38, on 20.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\System32\frmwrk32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ICQ6.5\ICQ.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Ralf\Desktop\Ad-AwareAE(2).exe
C:\Users\Ralf\AppData\Local\Temp\miaD664.tmp\Ad-AwareAE.exe
C:\Programe\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Reboot.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

--
End of file - 4604 bytes

saar_ripper · 20.03.2009, 15:26

Hab nun combofix ausgeführt und die symbole sind weg.

Hier das Log von Combofix

ComboFix 09-03-19.01 - Ralf 2009-03-20 14:59:32.1 - NTFSx86
Microsoft® Windows Vista™ Ultimate 6.0.6001.1.1252.1.1031.18.991.287 [GMT 1:00]
ausgeführt von:: c:\users\Ralf\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)
FW: Kaspersky Internet Security *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.
/wow section - STAGE 1
Zugriff verweigert

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\System32\1000.exe
c:\windows\System32\303350.exe
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\ahtn.htm
c:\windows\system32\dumphive.exe
c:\windows\system32\frmwrk32.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\ntdll64.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\ovfsthafepttynxrtqaexlqcwebsdywyvxikdi.dll
c:\windows\system32\ovfsthirqraaefmjvrqpwdxdhcatnppnxnprat.dll
c:\windows\system32\ovfsthmrwnmhkytsgrnifgbrrufjfyaonybwri.dll
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\test.ttt
c:\windows\system32\tmp.reg
c:\windows\system32\uniq.tll
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\warning.gif
c:\windows\system32\win32hlp.cnf
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthoctxrsokdprtcuitnvmymdkokmfjxkyx

((((((((((((((((((((((( Dateien erstellt von 2009-02-20 bis 2009-03-20 ))))))))))))))))))))))))))))))
.

2009-03-20 14:39 . 2009-03-20 14:39 <DIR> d-------- c:\users\All Users\WindowsSearch
2009-03-20 14:39 . 2009-03-20 14:39 <DIR> d-------- c:\programdata\WindowsSearch
2009-03-20 13:57 . 2009-03-20 13:57 <DIR> d--h-c--- c:\users\All Users\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}
2009-03-20 13:57 . 2009-03-20 13:57 <DIR> d--h-c--- c:\programdata\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}
2009-03-20 13:52 . 2009-03-20 13:52 <DIR> d-------- C:\Programe
2009-03-18 14:51 . 2009-03-18 14:51 0 --a------ c:\windows\System32\drivers\ovfsth.sys
2009-03-18 13:38 . 2006-10-26 19:56 32,592 --a------ c:\windows\System32\msonpmon.dll
2009-03-18 13:34 . 2009-03-18 13:34 <DIR> d-------- c:\program files\Microsoft Works
2009-03-18 13:30 . 2009-03-18 13:30 <DIR> d-------- c:\windows\PCHEALTH
2009-03-18 13:30 . 2009-03-18 13:30 <DIR> d-------- c:\program files\Microsoft.NET
2009-03-18 13:26 . 2009-03-18 13:26 <DIR> d-------- c:\program files\Microsoft Visual Studio 8
2009-03-18 13:26 . 2009-03-20 14:13 43 --a------ c:\windows\System32\ovfsthuueitnpbgvowneypuiqhvgmvljnmfaye.dat
2009-03-18 13:24 . 2009-03-18 13:39 <DIR> d-------- c:\users\All Users\Microsoft Help
2009-03-18 13:24 . 2009-03-18 13:39 <DIR> d-------- c:\programdata\Microsoft Help
2009-03-18 13:21 . 2009-03-20 14:13 13,902 --a------ c:\windows\System32\ovfsthjqmsrobodixqviorabvmcdgnpxhiided.dat
2009-03-18 12:59 . 2009-03-18 13:08 101,287 --a------ c:\windows\System32\drivers\klin.dat
2009-03-18 12:59 . 2009-03-18 13:08 89,601 --a------ c:\windows\System32\drivers\klick.dat
2009-03-18 12:57 . 2009-03-20 14:09 <DIR> d-------- c:\users\All Users\Kaspersky Lab
2009-03-18 12:57 . 2009-03-20 14:09 <DIR> d-------- c:\programdata\Kaspersky Lab
2009-03-18 12:57 . 2009-03-18 12:57 <DIR> d-------- c:\program files\Kaspersky Lab
2009-03-18 12:57 . 2009-03-20 14:57 2,419,232 --ahs---- c:\windows\System32\drivers\fidbox.dat
2009-03-18 12:57 . 2009-03-20 14:57 237,600 --ahs---- c:\windows\System32\drivers\fidbox2.dat
2009-03-18 12:57 . 2009-03-20 14:57 22,076 --ahs---- c:\windows\System32\drivers\fidbox.idx
2009-03-18 12:57 . 2009-03-20 14:57 1,892 --ahs---- c:\windows\System32\drivers\fidbox2.idx
2009-03-18 12:54 . 2009-03-20 14:01 <DIR> d--hs---- c:\windows\Installer
2009-03-18 12:54 . 2009-03-18 12:54 <DIR> d-------- c:\users\All Users\Kaspersky Lab Setup Files
2009-03-18 12:54 . 2009-03-18 12:54 <DIR> d-------- c:\programdata\Kaspersky Lab Setup Files
2009-03-18 12:33 . 2009-03-18 12:33 <DIR> d-------- c:\windows\System32\Macromed
2009-03-18 12:33 . 2009-03-18 13:14 <DIR> d-------- c:\program files\ICQ6.5
2009-03-18 00:42 . 2009-03-18 00:44 <DIR> d-------- c:\program files\EVEREST Home Edition
2009-03-17 20:54 . 2009-03-17 20:54 <DIR> d-------- c:\windows\CheckSur
2009-03-17 20:48 . 2008-10-22 02:22 2,048 --a------ c:\windows\System32\tzres.dll
2009-03-17 20:34 . 2008-07-27 19:03 282,112 --a------ c:\windows\System32\mscoree.dll
2009-03-17 20:34 . 2008-07-27 19:03 158,720 --a------ c:\windows\System32\mscorier.dll
2009-03-17 20:34 . 2008-07-27 19:03 96,760 --a------ c:\windows\System32\dfshim.dll
2009-03-17 20:34 . 2008-07-27 19:03 83,968 --a------ c:\windows\System32\mscories.dll
2009-03-17 20:34 . 2008-07-27 19:03 41,984 --a------ c:\windows\System32\netfxperf.dll
2009-03-17 20:31 . 2008-06-26 02:45 12,240,896 --a------ c:\windows\System32\NlsLexicons0007.dll
2009-03-17 20:31 . 2008-06-26 02:45 2,644,480 --a------ c:\windows\System32\NlsLexicons0009.dll
2009-03-17 20:31 . 2008-06-26 04:29 801,280 --a------ c:\windows\System32\NaturalLanguage6.dll
2009-03-17 20:27 . 2008-04-26 09:08 1,314,816 --a------ c:\windows\System32\quartz.dll
2009-03-17 20:08 . 2008-10-16 22:13 1,809,944 --a------ c:\windows\System32\wuaueng.dll
2009-03-17 20:08 . 2008-10-16 21:56 1,524,736 --a------ c:\windows\System32\wucltux.dll
2009-03-17 20:08 . 2008-10-16 22:12 561,688 --a------ c:\windows\System32\wuapi.dll
2009-03-17 20:08 . 2008-10-16 14:08 162,064 --a------ c:\windows\System32\wuwebv.dll
2009-03-17 20:08 . 2008-10-16 21:55 83,456 --a------ c:\windows\System32\wudriver.dll
2009-03-17 20:08 . 2008-10-16 22:09 51,224 --a------ c:\windows\System32\wuauclt.exe
2009-03-17 20:08 . 2008-10-16 22:09 43,544 --a------ c:\windows\System32\wups2.dll
2009-03-17 20:08 . 2008-10-16 22:08 34,328 --a------ c:\windows\System32\wups.dll
2009-03-17 20:08 . 2008-10-16 13:56 31,232 --a------ c:\windows\System32\wuapp.exe
2009-03-17 20:01 . 2008-09-09 11:15 48,128 --a------ c:\windows\System32\drivers\SiSGB6.sys
2009-03-17 19:48 . 2009-03-18 12:35 <DIR> d--h----- c:\program files\InstallShield Installation Information
2009-03-17 19:44 . 2009-03-18 13:00 <DIR> d-------- c:\program files\Mozilla Thunderbird
2009-03-17 19:40 . 2009-03-17 19:40 0 --ah----- c:\windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2009-03-17 19:37 . 2009-03-17 19:37 0 --a------ c:\windows\nsreg.dat
2009-03-17 19:23 . 2009-03-17 19:23 <DIR> d-------- c:\windows\System32\Tools
2009-03-17 19:23 . 2009-03-17 19:23 <DIR> d-------- c:\program files\Common Files\InstallShield
2009-03-17 19:17 . 2006-11-02 11:23 <DIR> dr------- c:\users\Ralf\Videos
2009-03-17 19:17 . 2006-11-02 11:23 <DIR> d-------- c:\users\Ralf\Saved Games
2009-03-17 19:17 . 2006-11-02 11:23 <DIR> dr------- c:\users\Ralf\Pictures
2009-03-17 19:17 . 2009-03-18 14:27 <DIR> dr------- c:\users\Ralf\Music
2009-03-17 19:17 . 2006-11-02 11:23 <DIR> dr------- c:\users\Ralf\Links
2009-03-17 19:17 . 2009-03-18 12:33 <DIR> dr------- c:\users\Ralf\Downloads
2009-03-17 19:17 . 2009-03-20 14:32 <DIR> dr------- c:\users\Ralf\Documents
2009-03-17 19:17 . 2009-03-17 19:17 <DIR> dr------- c:\users\Ralf\Contacts
2009-03-17 19:17 . 2009-03-17 19:19 <DIR> d--h----- c:\users\Ralf\AppData
2009-03-17 19:17 . 2009-03-18 12:58 <DIR> d-------- c:\users\Ralf
2009-03-17 19:12 . 2009-03-17 19:12 <DIR> dr------- c:\windows\System32\config\systemprofile\Contacts
2009-03-17 19:12 . 2009-03-17 20:51 <DIR> d-------- c:\windows\Debug
2009-03-17 18:57 . 2009-03-17 23:57 <DIR> d-------- c:\windows\System32\catroot2
2009-03-17 18:49 . 2009-03-17 19:10 <DIR> d-------- c:\windows\Panther
2009-03-17 18:48 . 2009-03-17 18:48 <DIR> d-------- c:\windows\System32\OEM
2009-03-17 18:48 . 2007-03-17 14:41 171,136 -rahs---- C:\grldr
2009-03-17 18:48 . 2007-03-16 19:40 59 -ra------ c:\windows\DELL_VERSION

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-18 12:33 --------- d-----w c:\program files\MSBuild
2009-03-18 12:08 33,808 ----a-w c:\windows\system32\drivers\klbg.sys
2009-03-17 22:54 --------- d-----w c:\program files\Windows Mail
2009-03-17 18:12 --------- d-sh--w c:\programdata\Vorlagen
2009-03-17 18:12 --------- d-sh--w c:\programdata\Startmenü
2009-03-17 18:12 --------- d-sh--w c:\programdata\Favoriten
2009-03-17 18:12 --------- d-sh--w c:\programdata\Dokumente
2009-03-17 18:12 --------- d-sh--w c:\programdata\Anwendungsdaten
2009-03-17 18:12 --------- d-sh--w c:\program files\Gemeinsame Dateien
2009-03-17 18:03 174 --sha-w c:\program files\desktop.ini
2009-02-09 03:10 2,033,152 ----a-w c:\windows\System32\win32k.sys
2009-01-15 06:11 827,392 ----a-w c:\windows\System32\wininet.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-03-30 1233920]
"ICQ"="c:\program files\ICQ6.5\ICQ.exe" [2008-11-30 172792]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-03-30 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-03-18 206088]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 c:\windows\SOUNDMAN.EXE]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Reboot.exe [2006-12-28 409088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 0 (0x0)
"EnableInstallerDetection"= 0 (0x0)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\KASPER~1\KASPER~1\mzvkbd.dll c:\progra~1\KASPER~1\KASPER~1\mzvkbd3.dll c:\progra~1\KASPER~1\KASPER~1\adialhk.dll c:\progra~1\KASPER~1\KASPER~1\kloehk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{8DC12E63-539C-4A42-9483-882C43BECB92}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{96B9C86A-4E99-4084-BD48-D21F78B59597}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{9F980359-A2CE-4C2D-9C1B-577D05BC36EF}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{ABB4FE63-A7A0-4AC7-B308-A4C6CCFEBFD3}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{FD895520-D67B-463C-B638-396BBBAA6634}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\System32\drivers\klbg.sys [2008-01-29 33808]
R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\System32\drivers\klim6.sys [2008-07-09 20496]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\System32\drivers\klfltdev.sys [2008-03-13 26640]
R3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\System32\drivers\SiSGB6.sys [2009-03-17 48128]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\programme\EVEREST Home Edition\kerneld.wnt [2005-08-18 7168]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Ralf\AppData\Roaming\Mozilla\Firefox\Profiles\nokskfwm.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-20 15:04:53
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2009-03-20 15:07:08
ComboFix-quarantined-files.txt 2009-03-20 14:07:06

Vor Suchlauf: 17 Verzeichnis(se), 52,021,182,464 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 51,909,808,128 Bytes frei

200 --- E O F --- 2009-03-20 11:06:47

HIER DAS LOG VON HIJACK THIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:26:06, on 20.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\conime.exe
C:\Windows\system32\notepad.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ICQ6.5\ICQ.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Programe\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Reboot.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

--
End of file - 3528 bytes

---------------------------------------------------------------------

Ist mein System jetzt wieder sauber?

Chris4You · 20.03.2009, 16:09

Hi,

nein, da sind zumindest noch Reste zu erkennen...
c:\windows\System32\drivers\ovfsth.sys
c:\windows\System32\ovfsthuueitnpbgvowneypuiqhvgmvljnmfaye.dat <- lade die mal in den Editor, vielleicht ist es unverschlüsselt...
c:\windows\System32\ovfsthjqmsrobodixqviorabvmcdgnpxhiided.dat

Diese Dateien solltest Du umgehen löschen, bitte melden wenn das nicht geht oder sie wieder
auftauchen...

Das hier ist seltsam und sollte überprüft werden, ein Reboot-Programm im Startupfolder?
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Reboot.exe [2006-12-28 409088]

Bei virustotal (www.virustotal.com) prüfen lassen, Log posten...

Dann noch MAM laufen lassen:
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

chris
Ps.: Ist das ein "legales" vista?

saar_ripper · 20.03.2009, 16:20

Zitat:

Zitat von Chris4You

Hi,
Ps.: Ist das ein "legales" vista?

Ja ist ein legales Vista. Wieso?

saar_ripper · 20.03.2009, 16:36

Zitat:

Zitat von Chris4You

Hi,

nein, da sind zumindest noch Reste zu erkennen...
c:\windows\System32\drivers\ovfsth.sys
c:\windows\System32\ovfsthuueitnpbgvowneypuiqhvgmvljnmfaye.dat <- lade die mal in den Editor, vielleicht ist es unverschlüsselt...
c:\windows\System32\ovfsthjqmsrobodixqviorabvmcdgnpxhiided.dat

Diese Dateien solltest Du umgehen löschen, bitte melden wenn das nicht geht oder sie wieder
auftauchen...

Dateien wurden gelöscht

Zitat:

Zitat von Chris4You

Das hier ist seltsam und sollte überprüft werden, ein Reboot-Programm im Startupfolder?
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Reboot.exe [2006-12-28 409088]

Bei virustotal (www.virustotal.com) prüfen lassen, Log posten...

Hier der LOG:

Zitat:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.03.20 -
AhnLab-V3 5.0.0.2 2009.03.20 -
AntiVir 7.9.0.120 2009.03.20 SPR/Tool.Reboot.G
Authentium 5.1.2.4 2009.03.20 -
Avast 4.8.1335.0 2009.03.20 -
AVG 8.5.0.283 2009.03.20 Tool.AX
BitDefender 7.2 2009.03.20 Application.Tool.718
CAT-QuickHeal 10.00 2009.03.20 -
ClamAV 0.94.1 2009.03.20 Trojan.Reboot
Comodo 1076 2009.03.20 ApplicUnsaf.Win32.RiskTool.Reboot.g
DrWeb 4.44.0.09170 2009.03.20 -
eSafe 7.0.17.0 2009.03.19 RiskTool.Win32.Reboo
eTrust-Vet 31.6.6408 2009.03.20 -
F-Prot 4.4.4.56 2009.03.20 -
F-Secure 8.0.14470.0 2009.03.20 RiskTool.Win32.Reboot.g
Fortinet 3.117.0.0 2009.03.20 HackerTool/Reboot
GData 19 2009.03.20 Application.Tool.718
Ikarus T3.1.1.48.0 2009.03.20 -
K7AntiVirus 7.10.676 2009.03.19 not-a-virus:RiskTool.Win32.Reboot.g
Kaspersky 7.0.0.125 2009.03.20 not-a-virus:RiskTool.Win32.Reboot.g
McAfee 5558 2009.03.20 potentially unwanted program Generic PUP
McAfee+Artemis 5558 2009.03.19 potentially unwanted program Generic PUP
McAfee-GW-Edition 6.7.6 2009.03.20 Riskware.Tool.Reboot.G
Microsoft 1.4502 2009.03.20 -
NOD32 3951 2009.03.20 -
Norman 6.00.06 2009.03.20 -
nProtect 2009.1.8.0 2009.03.20 -
Panda 10.0.0.10 2009.03.20 -
PCTools 4.4.2.0 2009.03.20 RiskTool.Reboot.L
Prevx1 V2 2009.03.20 -
Rising 21.21.42.00 2009.03.20 -
Sophos 4.39.0 2009.03.20 -
Sunbelt 3.2.1858.2 2009.03.19 -
Symantec 1.4.4.12 2009.03.20 -
TheHacker 6.3.3.0.286 2009.03.20 -
TrendMicro 8.700.0.1004 2009.03.20 -
VBA32 3.12.10.1 2009.03.19 -
ViRobot 2009.3.20.1658 2009.03.20 Not_a_virus:RiskTool.Reboot.409088
VirusBuster 4.6.5.0 2009.03.19 RiskTool.Reboot.L

Zitat:

Ps.: Ist das ein "legales" vista?

Ja ist legal.wieso?

Chris4You · 20.03.2009, 16:43

Hi,

Reboot.exe ebenfalls löschen...

Der Ordner "C:\grldr" deutet meist auf eine gecrackte Version hin...

Bitte noch MAM abfackeln und MBR prüfen...

MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte (läuft nicht auf 64-Bit Plattformen!):
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,

poste es im Thread;

chris

saar_ripper · 20.03.2009, 16:53

Hier das Ergebnis

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
-----------------------------------------------------------

Reboot.exe wurde gelöscht.
------------------------------------------------------------

MAM hat keine bösartigen Objekte gefunden

Iste jetzt alles wieder in Ordnung?

Chris4You · 21.03.2009, 10:37

Hi,

zumindest ist nichts mehr erkennbar....

chris

Warning Security Report / Sicherheitscenter deaktiviert

Log-Analyse und Auswertung: Warning Security Report / Sicherheitscenter deaktiviert