BV:AutoRun-G[Wrm] in J:\autorun.inf

sweetchuck · 03.05.2009, 17:59

alles schön und gut..

aber auf der CureIt Dr. Web Anleitungsseite fehlen einige Bilder, wo ich Einstellungen ändern soll, um einen Komplett Scan durchzuführen und wie ich es abspeichern soll!

mfg

john.doe · 03.05.2009, 18:11

Ich muss gestehen, ich habe die Anleitung noch nie gelesen, es allerdings neulich noch benutzt. Das lässt sich doch fast intuitiv bedienen. Die Einstellungen spielen keine Rolle. Es geht nur um die Funde und das Protokoll. CureIt wird nach Gebrauch sowieso wieder deinstalliert.

ciao, andreas

sweetchuck · 03.05.2009, 18:15

alles Klar.. dann mach ich das mal..

mfg

john.doe · 03.05.2009, 20:21

sweetchuck · 04.05.2009, 08:03

Also, habe alles durchgeführt bis auf den scan mit prevXCSI.

Hier die Logs der einzelnen Scans:

Dr.Web:

Code:

ATTFilter

spoolsv.exe;j:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013;BackDoor.IRC.Sdbot.3506;Gelöscht.;
ComboFix.exe/data002\32788R22FWJFW\FIND3M.bat;C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop\ComboFix.exe/data002;Wahrscheinlich BATCH.Virus;;
ComboFix.exe/data002\32788R22FWJFW\psexec.cfexe;C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop\ComboFix.exe/data002;Program.PsExec.171;;
data002;C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop;Archiv enthält infizierte Objekte;;
ComboFix.exe;C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop;Container enthält infizierte Objekte;;
spoolsv.exe.vir;C:\Qoobox\Quarantine\C\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013;BackDoor.IRC.Sdbot.3506;Gelöscht.;
A0000357.exe;C:\System Volume Information\_restore{05D3A049-F5BC-4C9A-8D8B-7A2B9812C714}\RP2;BackDoor.IRC.Sdbot.3506;Gelöscht.;
A0000387.bat;C:\System Volume Information\_restore{05D3A049-F5BC-4C9A-8D8B-7A2B9812C714}\RP2;Wahrscheinlich BATCH.Virus;;
A0000451.bat;C:\System Volume Information\_restore{05D3A049-F5BC-4C9A-8D8B-7A2B9812C714}\RP2;Wahrscheinlich BATCH.Virus;;
A0000566.EXE;C:\System Volume Information\_restore{05D3A049-F5BC-4C9A-8D8B-7A2B9812C714}\RP2;Program.PsExec.170;;
A0000594.bat;C:\System Volume Information\_restore{05D3A049-F5BC-4C9A-8D8B-7A2B9812C714}\RP2;Wahrscheinlich BATCH.Virus;;

ActiveScan-Log:

Code:

ATTFilter

;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-05-03 23:03:50
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 2
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
avast! antivirus 4.8.1335 [VPS 090503-0]     4.8.1335                      Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
02885963  Rootkit/Booto.C                    Virus/Worm          No        0         Yes            No           C:\System Volume Information\_restore{05D3A049-F5BC-4C9A-8D8B-7A2B9812C714}\RP2\A0000554.sys
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              
;===================================================================================================================================================================================
No        C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop\ComboFix.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                     
No        C:\Dokumente und Einstellungen\Moamer Hamzic\DoctorWeb\Quarantine\ComboFix.exe                                                                                                                                                                                                                                                                                                                                                                                                                                        
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                
;===================================================================================================================================================================================
;===================================================================================================================================================================================

Hier noch eine Info:

Avast zeigt mir KEINE Warnmeldung mehr, auch wenn der Stick angesteckt ist! Auf dem Stick befindet sich nur mehr der Ordner "Recycler". Die autorun.inf ist nicht mehr da.

mfg

sweetchuck · 04.05.2009, 21:51

so, jetz habe ich mein system mit prevXCSI auch gescannt:

precXCSI Log in gekürtzter Fassung (zu viele Zeichen); Hier werden nur die gefundenen Risiken angezeigt:

Code:

ATTFilter

Prevx Scan Log - Version v3.0.1.65
Log Generated: 4/5/2009 22:42, Type: 0,1
Windows XP Professional Service Pack 3 (Build 2600) 32bit|1031
Some non-malicious files are not included in this log.
Heuristics Settings: Age: 1, Pop: 1, Heu: 2 (Dir: 1)
Last Scan: Mon 2009-05-04 22:40:49 Westeuropäische Normalzeit. Number of Scans: 1. Last Scan Duration: 1 minute 47 seconds.
[BP] c:\windows\vfind.exe	[PX5: F8B1CE87006684ABCA8901BE6505AF008413DBFC]	Malware Group: High Risk Cloaked Malware
[B] (ACTIVE) c:\windows\system32\btncopyd.dll	[PX5: FD4F622000F6ECB54C55007819286B0055977D9A]	Malware Group: High Risk Worm


End of Prevx Scan Log - http://www.prevx.com

Wie soll ich nun weiter vorgehen??

mfg

john.doe · 04.05.2009, 22:01

Die Meldungen von CureIT gefallen mir gar nicht.

1.) Lade die Datei

Code:

ATTFilter

c:\windows\system32\btncopyd.dll

bitte gemäß dieser Anleitung bei uns hoch.

2.) Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

(Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Entf um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein)

ciao, andreas

sweetchuck · 04.05.2009, 22:35

Hier das geforderte Log:

Code:

ATTFilter

   --------------------\\  Lop S&D 4.2.5-0   XP/Vista

   Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     T7300  @ 2.00GHz )
   BIOS : ZD1 v1.3708 3G08
   USER : XXX ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.8.1335 [VPS 090504-0] 4.8.1335 (Activated)
   C:\ (Local Disk) - NTFS - Total:111 Go (Free:51 Go)
   D:\ (Local Disk) - NTFS - Total:108 Go (Free:54 Go)
   E:\ (CD or DVD)
   F:\ (CD or DVD)
   G:\ (CD or DVD)
   H:\ (CD or DVD)
   I:\ (CD or DVD)
   J:\ (USB) - FAT32 - Total:3848 Mo (Free:3 Go)

   "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
   Option : [1] ( 04.05.2009|23:09 )
 
   --------------------\\  Ordner Verzeichnis unter ANWEND~1

   [12.12.2008|19:52] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes
   [3|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei

   [31.07.2008|13:24] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Intel
   [05.08.2008|02:07] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Bytes
   [4|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Bytes frei

   [27.08.2008|22:56] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
   [01.08.2008|15:18] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FLEXnet
   [05.03.2009|18:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield
   [31.07.2008|13:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Intel
   [18.10.2008|18:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\KONAMI
   [17.03.2009|10:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Macromedia
   [04.05.2009|01:55] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MAGIX
   [03.05.2009|15:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
   [30.04.2009|09:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!
   [04.12.2008|17:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
   [28.04.2009|22:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help
   [23.12.2008|19:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Novatel Wireless
   [31.07.2008|15:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles
   [17.02.2009|10:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TechSmith
   [03.03.2009|01:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
   [06.03.2009|12:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TrackMania
   [20.10.2008|12:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller
   [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
   [19|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

   [31.07.2008|13:24] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Intel
   [05.08.2008|02:07] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
   [4|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

   [31.07.2008|13:24] C:\DOKUME~1\LOCALS~1\ANWEND~1\Intel
   [30.07.2008|23:19] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
   [4|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

   [29.09.2008|11:26] C:\DOKUME~1\MOAMER~1\ANWEND~1\Adobe
   [25.03.2009|20:14] C:\DOKUME~1\MOAMER~1\ANWEND~1\Audacity
   [20.03.2009|11:17] C:\DOKUME~1\MOAMER~1\ANWEND~1\Axon2009
   [13.04.2009|15:18] C:\DOKUME~1\MOAMER~1\ANWEND~1\CoSoSys
   [01.08.2008|01:22] C:\DOKUME~1\MOAMER~1\ANWEND~1\DAEMON Tools
   [07.10.2008|15:41] C:\DOKUME~1\MOAMER~1\ANWEND~1\FileZilla
   [27.02.2009|11:39] C:\DOKUME~1\MOAMER~1\ANWEND~1\Google
   [26.10.2008|20:31] C:\DOKUME~1\MOAMER~1\ANWEND~1\Hamachi
   [30.07.2008|23:25] C:\DOKUME~1\MOAMER~1\ANWEND~1\Identities
   [05.03.2009|18:59] C:\DOKUME~1\MOAMER~1\ANWEND~1\InstallShield
   [31.07.2008|13:24] C:\DOKUME~1\MOAMER~1\ANWEND~1\Intel
   [14.10.2008|14:55] C:\DOKUME~1\MOAMER~1\ANWEND~1\KompoZer
   [03.10.2008|08:46] C:\DOKUME~1\MOAMER~1\ANWEND~1\Leadertech
   [17.03.2009|10:15] C:\DOKUME~1\MOAMER~1\ANWEND~1\Macromedia
   [02.12.2008|10:54] C:\DOKUME~1\MOAMER~1\ANWEND~1\MAGIX
   [03.05.2009|15:57] C:\DOKUME~1\MOAMER~1\ANWEND~1\Malwarebytes
   [25.03.2009|12:52] C:\DOKUME~1\MOAMER~1\ANWEND~1\Microsoft
   [24.02.2009|00:19] C:\DOKUME~1\MOAMER~1\ANWEND~1\Microsoft Games
   [01.08.2008|01:10] C:\DOKUME~1\MOAMER~1\ANWEND~1\Mozilla
   [20.02.2009|19:17] C:\DOKUME~1\MOAMER~1\ANWEND~1\Red Alert 3
   [04.12.2008|17:06] C:\DOKUME~1\MOAMER~1\ANWEND~1\SecuROM
   [10.10.2008|10:25] C:\DOKUME~1\MOAMER~1\ANWEND~1\Sun
   [15.01.2009|10:48] C:\DOKUME~1\MOAMER~1\ANWEND~1\TeamViewer
   [08.01.2009|11:13] C:\DOKUME~1\MOAMER~1\ANWEND~1\Teeworlds
   [01.08.2008|01:43] C:\DOKUME~1\MOAMER~1\ANWEND~1\vlc
   [06.11.2008|20:54] C:\DOKUME~1\MOAMER~1\ANWEND~1\Winamp
   [31.07.2008|16:41] C:\DOKUME~1\MOAMER~1\ANWEND~1\WinRAR
   [0|Datei(en)] C:\DOKUME~1\MOAMER~1\ANWEND~1\Bytes
   [29|Verzeichnis(se),] C:\DOKUME~1\MOAMER~1\ANWEND~1\Bytes frei

   [31.07.2008|13:24] C:\DOKUME~1\NETWOR~1\ANWEND~1\Intel
   [05.08.2008|02:06] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
   [4|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei
 
   --------------------\\  Geplante Aufgaben unter C:\WINDOWS\Tasks

   [04.05.2009 22:34][--ah-----] C:\WINDOWS\tasks\SA.DAT
   [11.11.2004 15:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

   --------------------\\  Ordner Verzeichnis unter C:\Programme

   [31.07.2008|15:54] C:\Programme\ACER Crystal Eye webcam
   [29.09.2008|11:27] C:\Programme\Adobe
   [12.12.2008|19:52] C:\Programme\AGEIA Technologies
   [31.07.2008|16:47] C:\Programme\Alwil Software
   [27.02.2009|09:10] C:\Programme\Audacity 1.3 Beta (Unicode)
   [31.07.2008|13:45] C:\Programme\Broadcom
   [03.05.2009|13:11] C:\Programme\CCleaner
   [30.07.2008|23:17] C:\Programme\ComPlus Applications
   [31.07.2008|13:58] C:\Programme\CONEXANT
   [01.08.2008|01:25] C:\Programme\DAEMON Tools Lite
   [05.08.2008|17:22] C:\Programme\Deluxe Ski Jump 3
   [04.08.2008|17:25] C:\Programme\ElastoManiaRegistered
   [03.05.2009|14:24] C:\Programme\Gemeinsame Dateien
   [10.11.2008|12:49] C:\Programme\GeoGebra
   [30.10.2008|22:08] C:\Programme\GIGA F-Tasten
   [04.05.2009|01:53] C:\Programme\Google
   [15.09.2008|19:07] C:\Programme\Hamachi
   [10.04.2009|15:27] C:\Programme\InstallShield Installation Information
   [31.07.2008|13:23] C:\Programme\Intel
   [30.03.2009|10:39] C:\Programme\Internet Explorer
   [07.04.2009|17:38] C:\Programme\Java
   [06.03.2009|01:13] C:\Programme\KONAMI
   [27.03.2009|17:11] C:\Programme\Left 4 Dead
   [17.03.2009|10:13] C:\Programme\Macromedia
   [04.03.2009|16:23] C:\Programme\MAGIX
   [03.05.2009|15:57] C:\Programme\Malwarebytes' Anti-Malware
   [26.09.2008|08:02] C:\Programme\Maxima-5.16.3
   [26.08.2008|00:17] C:\Programme\Messenger
   [06.02.2009|09:13] C:\Programme\Messenger Plus! Live
   [30.07.2008|23:20] C:\Programme\microsoft frontpage
   [04.12.2008|17:03] C:\Programme\Microsoft Games for Windows - LIVE
   [01.08.2008|01:35] C:\Programme\Microsoft Office
   [01.08.2008|01:35] C:\Programme\Microsoft Visual Studio
   [01.08.2008|01:35] C:\Programme\Microsoft Works
   [01.08.2008|01:34] C:\Programme\Microsoft.NET
   [22.08.2008|22:20] C:\Programme\Movie Maker
   [04.05.2009|22:57] C:\Programme\Mozilla Firefox
   [04.12.2008|16:35] C:\Programme\MSBuild
   [30.07.2008|23:16] C:\Programme\MSN
   [30.07.2008|23:17] C:\Programme\MSN Gaming Zone
   [04.12.2008|08:29] C:\Programme\MSXML 4.0
   [05.08.2008|02:08] C:\Programme\MSXML 6.0
   [22.08.2008|22:19] C:\Programme\NetMeeting
   [23.12.2008|00:46] C:\Programme\Novatel Wireless
   [30.07.2008|23:17] C:\Programme\Online Services
   [30.07.2008|23:18] C:\Programme\Online-Dienste
   [14.10.2008|17:53] C:\Programme\OpenAL
   [22.08.2008|22:19] C:\Programme\Outlook Express
   [04.05.2009|01:52] C:\Programme\Panda Security
   [06.10.2008|09:15] C:\Programme\PDFCreator
   [05.11.2008|19:43] C:\Programme\Power2Go
   [02.12.2008|10:55] C:\Programme\ProtectDisc Driver Installer
   [31.07.2008|13:28] C:\Programme\Realtek
   [04.12.2008|16:32] C:\Programme\Reference Assemblies
   [31.07.2008|15:54] C:\Programme\SUYIN
   [31.07.2008|13:23] C:\Programme\Synaptics
   [15.01.2009|10:51] C:\Programme\TeamViewer
   [17.02.2009|10:00] C:\Programme\TechSmith
   [31.07.2008|16:45] C:\Programme\Tracker Software
   [11.02.2009|17:18] C:\Programme\TrackMania Nations ESWC
   [28.04.2009|20:55] C:\Programme\Trend Micro
   [27.03.2009|21:00] C:\Programme\Ubisoft
   [04.04.2009|18:18] C:\Programme\Ubisoft Entertainment
   [30.07.2008|23:25] C:\Programme\Uninstall Information
   [31.07.2008|15:59] C:\Programme\VideoLAN
   [31.07.2008|13:15] C:\Programme\WIDCOMM
   [06.11.2008|20:36] C:\Programme\Winamp
   [13.10.2008|11:56] C:\Programme\Windows Live
   [04.12.2008|17:04] C:\Programme\Windows Media Player
   [22.08.2008|22:19] C:\Programme\Windows NT
   [30.07.2008|23:18] C:\Programme\WindowsUpdate
   [31.07.2008|15:58] C:\Programme\WinRAR
   [30.07.2008|23:20] C:\Programme\xerox
   [13.03.2009|11:21] C:\Programme\XMind
   [10.11.2008|12:48] C:\Programme\Zero G Registry
   [0|Datei(en)] C:\Programme\Bytes
   [77|Verzeichnis(se),] C:\Programme\Bytes frei

   --------------------\\  Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

   [01.08.2008|15:09] C:\Programme\Gemeinsame Dateien\Adobe
   [01.08.2008|01:35] C:\Programme\Gemeinsame Dateien\DESIGNER
   [30.07.2008|23:18] C:\Programme\Gemeinsame Dateien\Dienste
   [08.08.2008|21:50] C:\Programme\Gemeinsame Dateien\DirectX
   [05.03.2009|18:49] C:\Programme\Gemeinsame Dateien\InstallShield
   [17.03.2009|10:14] C:\Programme\Gemeinsame Dateien\Macromedia
   [01.08.2008|15:04] C:\Programme\Gemeinsame Dateien\Macrovision Shared
   [02.12.2008|10:53] C:\Programme\Gemeinsame Dateien\MAGIX Shared
   [14.10.2008|01:17] C:\Programme\Gemeinsame Dateien\Microsoft Shared
   [30.07.2008|23:18] C:\Programme\Gemeinsame Dateien\MSSoap
   [30.07.2008|23:43] C:\Programme\Gemeinsame Dateien\ODBC
   [31.07.2008|15:57] C:\Programme\Gemeinsame Dateien\snp2uvc
   [30.07.2008|23:43] C:\Programme\Gemeinsame Dateien\SpeechEngines
   [22.08.2008|22:19] C:\Programme\Gemeinsame Dateien\System
   [17.02.2009|10:00] C:\Programme\Gemeinsame Dateien\TechSmith Shared
   [20.10.2008|12:32] C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
   [12.12.2008|19:52] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
   [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
   [19|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

   --------------------\\  Process

   ( 46 Processes )

   ... OK !

   --------------------\\  Ueberpruefung mit S_Lop

   Kein Lop Ordner gefunden !
 
   --------------------\\  Suche nach Lop Dateien - Ordnern

   C:\DOKUME~1\MOAMER~1\LOKALE~1\Temp\stadistic.log
 
   --------------------\\  Suche innerhalb der Registry
 
   ..... OK !

   --------------------\\  Ueberpruefung der Hosts Datei

   Hosts Datei SAUBER


   --------------------\\  Suche nach verborgenen Dateien mit Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2009-05-04 23:10:15
   Windows 5.1.2600 Service Pack 3 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 0
 
   --------------------\\  Suche nach anderen Infektionen

   --------------------\\  Cracks & Keygens ..

   C:\DOKUME~1\MOAMER~1\Eigene Dateien\CS Condition Zero\CS.Condition.Zero.LanVersion\Keygen Czero wichtig!!!!.txt
   C:\DOKUME~1\MOAMER~1\Eigene Dateien\CS Condition Zero\CS.Condition.Zero.LanVersion\Condition Zero\Keygen Czero wichtig!!!!.txt
   C:\DOKUME~1\MOAMER~1\Eigene Dateien\Eigene Musik\Strana\Massiv\Blut gegen Blut\23 - Mein Crack (feat VS Mafia).mp3
   C:\DOKUME~1\MOAMER~1\Eigene Dateien\Eigene Musik\Strana\The Game\The Black Wall Street Journal Volume 1\100 bars of crack.mp3


   [F:93][D:9]-> C:\DOKUME~1\MOAMER~1\LOKALE~1\Temp
   [F:19][D:0]-> C:\DOKUME~1\MOAMER~1\Cookies
   [F:1107][D:5]-> C:\DOKUME~1\MOAMER~1\LOKALE~1\TEMPOR~1\content.IE5

   1 - "C:\Lop SD\LopR_1.txt" - 04.05.2009|23:11 - Option : [1]

   --------------------\\  Scan beendet um 23:11:55

mfg

john.doe · 04.05.2009, 23:02

Erstelle ein Filelisting.

Lade die Datei File-Upload.net - listing0.bat auf deinen Desktop
Doppelklicke auf listing0.bat
Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de) hochladen und hier den Link posten.

ciao, andreas

sweetchuck · 04.05.2009, 23:11

Hier der Link:

http://www.materialordner.de/HykRwe5kgeWjibB0M86KLmdA2YukyH.html

mfg

john.doe · 04.05.2009, 23:18

Jetzt möchte ich es aber genau wissen. Woher hast du das hier:

Zitat:

C:\DOKUME~1\MOAMER~1\Eigene Dateien\CS Condition Zero\CS.Condition.Zero.LanVersion\Keygen Czero wichtig!!!!.txt

Dazu musst du wissen, das CureIt den SDBot gefunden hat, der wird allerdings nur noch mithilfe Keygens verbreitet. Wo hast du die Datei her?

ciao, andreas

sweetchuck · 04.05.2009, 23:30

Ich habe den ganzen Condition Zero Ordner von einem Freund bekommen.

Und diese Textdatei war halt auch dabei. Wenn ich sie öffne, steht folgendes drin:

Code:

ATTFilter

cs zero 

Keygen:

5zn2e-6erhh-sqmv8-d9lz8-thl8k

Es ist also kein keygen sondern nur eine Textdatei.

Hatte mit dieser Datei bis jetzt noch nie irgendwelche probleme!

mfg

john.doe · 05.05.2009, 16:21

Klicke mal auf den Link "Virenscanner" in meiner Signatur. Dort findest du:

Zitat:

Software aus dubiosen Quellen wie Freunde, Edonkey, Warez-Seiten sollte man nicht einmal mit der Kneifzange anfassen.

1.) LopSD nochmal laufenlassen, diesmal mit Option 2. Log posten.

2.) Start => Ausführen => combofix /u => OK

3.) Laden, laufenlassen, Log posten: http://www.trojaner-board.de/51871-a...tispyware.html

4.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

ciao, andreas

sweetchuck · 06.05.2009, 06:50

1.)

Code:

ATTFilter

   --------------------\\  Lop S&D 4.2.5-0   XP/Vista

   Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     T7300  @ 2.00GHz )
   BIOS : ZD1 v1.3708 3G08
   USER : Moamer Hamzic ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.8.1335 [VPS 090505-0] 4.8.1335 (Activated)
   C:\ (Local Disk) - NTFS - Total:111 Go (Free:51 Go)
   D:\ (Local Disk) - NTFS - Total:108 Go (Free:54 Go)
   E:\ (CD or DVD)
   F:\ (CD or DVD)
   G:\ (CD or DVD)
   H:\ (CD or DVD)
   I:\ (CD or DVD)
   J:\ (USB) - FAT32 - Total:3848 Mo (Free:3 Go)

   "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
   Option : [2] ( 05.05.2009|23:28 )


   \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ FIX

   Geloescht  ! - C:\DOKUME~1\MOAMER~1\LOKALE~1\Temp\stadistic.log
 
   \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ 

 
   --------------------\\  Ordner Verzeichnis unter ANWEND~1

   [12.12.2008|19:52] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes
   [3|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei

   [31.07.2008|13:24] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Intel
   [05.08.2008|02:07] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Bytes
   [4|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1.MOE\ANWEND~1\Bytes frei

   [27.08.2008|22:56] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
   [01.08.2008|15:18] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FLEXnet
   [05.03.2009|18:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield
   [31.07.2008|13:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Intel
   [18.10.2008|18:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\KONAMI
   [17.03.2009|10:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Macromedia
   [04.05.2009|01:55] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MAGIX
   [03.05.2009|15:57] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
   [30.04.2009|09:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!
   [04.12.2008|17:03] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
   [28.04.2009|22:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help
   [23.12.2008|19:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Novatel Wireless
   [31.07.2008|15:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles
   [17.02.2009|10:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TechSmith
   [03.03.2009|01:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
   [06.03.2009|12:29] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TrackMania
   [20.10.2008|12:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller
   [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
   [19|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

   [31.07.2008|13:24] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Intel
   [05.08.2008|02:07] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
   [4|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

   [31.07.2008|13:24] C:\DOKUME~1\LOCALS~1\ANWEND~1\Intel
   [30.07.2008|23:19] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
   [4|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

   [29.09.2008|11:26] C:\DOKUME~1\MOAMER~1\ANWEND~1\Adobe
   [25.03.2009|20:14] C:\DOKUME~1\MOAMER~1\ANWEND~1\Audacity
   [20.03.2009|11:17] C:\DOKUME~1\MOAMER~1\ANWEND~1\Axon2009
   [13.04.2009|15:18] C:\DOKUME~1\MOAMER~1\ANWEND~1\CoSoSys
   [01.08.2008|01:22] C:\DOKUME~1\MOAMER~1\ANWEND~1\DAEMON Tools
   [07.10.2008|15:41] C:\DOKUME~1\MOAMER~1\ANWEND~1\FileZilla
   [27.02.2009|11:39] C:\DOKUME~1\MOAMER~1\ANWEND~1\Google
   [26.10.2008|20:31] C:\DOKUME~1\MOAMER~1\ANWEND~1\Hamachi
   [30.07.2008|23:25] C:\DOKUME~1\MOAMER~1\ANWEND~1\Identities
   [05.03.2009|18:59] C:\DOKUME~1\MOAMER~1\ANWEND~1\InstallShield
   [31.07.2008|13:24] C:\DOKUME~1\MOAMER~1\ANWEND~1\Intel
   [14.10.2008|14:55] C:\DOKUME~1\MOAMER~1\ANWEND~1\KompoZer
   [03.10.2008|08:46] C:\DOKUME~1\MOAMER~1\ANWEND~1\Leadertech
   [17.03.2009|10:15] C:\DOKUME~1\MOAMER~1\ANWEND~1\Macromedia
   [02.12.2008|10:54] C:\DOKUME~1\MOAMER~1\ANWEND~1\MAGIX
   [03.05.2009|15:57] C:\DOKUME~1\MOAMER~1\ANWEND~1\Malwarebytes
   [25.03.2009|12:52] C:\DOKUME~1\MOAMER~1\ANWEND~1\Microsoft
   [24.02.2009|00:19] C:\DOKUME~1\MOAMER~1\ANWEND~1\Microsoft Games
   [01.08.2008|01:10] C:\DOKUME~1\MOAMER~1\ANWEND~1\Mozilla
   [20.02.2009|19:17] C:\DOKUME~1\MOAMER~1\ANWEND~1\Red Alert 3
   [04.12.2008|17:06] C:\DOKUME~1\MOAMER~1\ANWEND~1\SecuROM
   [10.10.2008|10:25] C:\DOKUME~1\MOAMER~1\ANWEND~1\Sun
   [15.01.2009|10:48] C:\DOKUME~1\MOAMER~1\ANWEND~1\TeamViewer
   [08.01.2009|11:13] C:\DOKUME~1\MOAMER~1\ANWEND~1\Teeworlds
   [01.08.2008|01:43] C:\DOKUME~1\MOAMER~1\ANWEND~1\vlc
   [06.11.2008|20:54] C:\DOKUME~1\MOAMER~1\ANWEND~1\Winamp
   [31.07.2008|16:41] C:\DOKUME~1\MOAMER~1\ANWEND~1\WinRAR
   [0|Datei(en)] C:\DOKUME~1\MOAMER~1\ANWEND~1\Bytes
   [29|Verzeichnis(se),] C:\DOKUME~1\MOAMER~1\ANWEND~1\Bytes frei

   [31.07.2008|13:24] C:\DOKUME~1\NETWOR~1\ANWEND~1\Intel
   [05.08.2008|02:06] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
   [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
   [4|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei
 
   --------------------\\  Geplante Aufgaben unter C:\WINDOWS\Tasks

   [05.05.2009 23:09][--ah-----] C:\WINDOWS\tasks\SA.DAT
   [11.11.2004 15:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

   --------------------\\  Ordner Verzeichnis unter C:\Programme

   [31.07.2008|15:54] C:\Programme\ACER Crystal Eye webcam
   [29.09.2008|11:27] C:\Programme\Adobe
   [12.12.2008|19:52] C:\Programme\AGEIA Technologies
   [31.07.2008|16:47] C:\Programme\Alwil Software
   [27.02.2009|09:10] C:\Programme\Audacity 1.3 Beta (Unicode)
   [31.07.2008|13:45] C:\Programme\Broadcom
   [03.05.2009|13:11] C:\Programme\CCleaner
   [30.07.2008|23:17] C:\Programme\ComPlus Applications
   [31.07.2008|13:58] C:\Programme\CONEXANT
   [01.08.2008|01:25] C:\Programme\DAEMON Tools Lite
   [05.08.2008|17:22] C:\Programme\Deluxe Ski Jump 3
   [04.08.2008|17:25] C:\Programme\ElastoManiaRegistered
   [03.05.2009|14:24] C:\Programme\Gemeinsame Dateien
   [10.11.2008|12:49] C:\Programme\GeoGebra
   [30.10.2008|22:08] C:\Programme\GIGA F-Tasten
   [04.05.2009|01:53] C:\Programme\Google
   [15.09.2008|19:07] C:\Programme\Hamachi
   [10.04.2009|15:27] C:\Programme\InstallShield Installation Information
   [31.07.2008|13:23] C:\Programme\Intel
   [30.03.2009|10:39] C:\Programme\Internet Explorer
   [07.04.2009|17:38] C:\Programme\Java
   [06.03.2009|01:13] C:\Programme\KONAMI
   [27.03.2009|17:11] C:\Programme\Left 4 Dead
   [17.03.2009|10:13] C:\Programme\Macromedia
   [04.03.2009|16:23] C:\Programme\MAGIX
   [03.05.2009|15:57] C:\Programme\Malwarebytes' Anti-Malware
   [26.09.2008|08:02] C:\Programme\Maxima-5.16.3
   [26.08.2008|00:17] C:\Programme\Messenger
   [06.02.2009|09:13] C:\Programme\Messenger Plus! Live
   [30.07.2008|23:20] C:\Programme\microsoft frontpage
   [04.12.2008|17:03] C:\Programme\Microsoft Games for Windows - LIVE
   [01.08.2008|01:35] C:\Programme\Microsoft Office
   [01.08.2008|01:35] C:\Programme\Microsoft Visual Studio
   [01.08.2008|01:35] C:\Programme\Microsoft Works
   [01.08.2008|01:34] C:\Programme\Microsoft.NET
   [22.08.2008|22:20] C:\Programme\Movie Maker
   [05.05.2009|23:27] C:\Programme\Mozilla Firefox
   [04.12.2008|16:35] C:\Programme\MSBuild
   [30.07.2008|23:16] C:\Programme\MSN
   [30.07.2008|23:17] C:\Programme\MSN Gaming Zone
   [04.12.2008|08:29] C:\Programme\MSXML 4.0
   [05.08.2008|02:08] C:\Programme\MSXML 6.0
   [22.08.2008|22:19] C:\Programme\NetMeeting
   [23.12.2008|00:46] C:\Programme\Novatel Wireless
   [30.07.2008|23:17] C:\Programme\Online Services
   [30.07.2008|23:18] C:\Programme\Online-Dienste
   [14.10.2008|17:53] C:\Programme\OpenAL
   [22.08.2008|22:19] C:\Programme\Outlook Express
   [04.05.2009|01:52] C:\Programme\Panda Security
   [06.10.2008|09:15] C:\Programme\PDFCreator
   [05.11.2008|19:43] C:\Programme\Power2Go
   [02.12.2008|10:55] C:\Programme\ProtectDisc Driver Installer
   [31.07.2008|13:28] C:\Programme\Realtek
   [04.12.2008|16:32] C:\Programme\Reference Assemblies
   [31.07.2008|15:54] C:\Programme\SUYIN
   [31.07.2008|13:23] C:\Programme\Synaptics
   [15.01.2009|10:51] C:\Programme\TeamViewer
   [17.02.2009|10:00] C:\Programme\TechSmith
   [31.07.2008|16:45] C:\Programme\Tracker Software
   [11.02.2009|17:18] C:\Programme\TrackMania Nations ESWC
   [28.04.2009|20:55] C:\Programme\Trend Micro
   [27.03.2009|21:00] C:\Programme\Ubisoft
   [04.04.2009|18:18] C:\Programme\Ubisoft Entertainment
   [30.07.2008|23:25] C:\Programme\Uninstall Information
   [31.07.2008|15:59] C:\Programme\VideoLAN
   [31.07.2008|13:15] C:\Programme\WIDCOMM
   [06.11.2008|20:36] C:\Programme\Winamp
   [13.10.2008|11:56] C:\Programme\Windows Live
   [04.12.2008|17:04] C:\Programme\Windows Media Player
   [22.08.2008|22:19] C:\Programme\Windows NT
   [30.07.2008|23:18] C:\Programme\WindowsUpdate
   [31.07.2008|15:58] C:\Programme\WinRAR
   [30.07.2008|23:20] C:\Programme\xerox
   [13.03.2009|11:21] C:\Programme\XMind
   [10.11.2008|12:48] C:\Programme\Zero G Registry
   [0|Datei(en)] C:\Programme\Bytes
   [77|Verzeichnis(se),] C:\Programme\Bytes frei

   --------------------\\  Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

   [01.08.2008|15:09] C:\Programme\Gemeinsame Dateien\Adobe
   [01.08.2008|01:35] C:\Programme\Gemeinsame Dateien\DESIGNER
   [30.07.2008|23:18] C:\Programme\Gemeinsame Dateien\Dienste
   [08.08.2008|21:50] C:\Programme\Gemeinsame Dateien\DirectX
   [05.03.2009|18:49] C:\Programme\Gemeinsame Dateien\InstallShield
   [17.03.2009|10:14] C:\Programme\Gemeinsame Dateien\Macromedia
   [01.08.2008|15:04] C:\Programme\Gemeinsame Dateien\Macrovision Shared
   [02.12.2008|10:53] C:\Programme\Gemeinsame Dateien\MAGIX Shared
   [14.10.2008|01:17] C:\Programme\Gemeinsame Dateien\Microsoft Shared
   [30.07.2008|23:18] C:\Programme\Gemeinsame Dateien\MSSoap
   [30.07.2008|23:43] C:\Programme\Gemeinsame Dateien\ODBC
   [31.07.2008|15:57] C:\Programme\Gemeinsame Dateien\snp2uvc
   [30.07.2008|23:43] C:\Programme\Gemeinsame Dateien\SpeechEngines
   [22.08.2008|22:19] C:\Programme\Gemeinsame Dateien\System
   [17.02.2009|10:00] C:\Programme\Gemeinsame Dateien\TechSmith Shared
   [20.10.2008|12:32] C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
   [12.12.2008|19:52] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
   [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
   [19|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

   --------------------\\  Process

   ( 47 Processes )

   ... OK !

   --------------------\\  Ueberpruefung mit S_Lop

   Kein Lop Ordner gefunden !
 
   --------------------\\  Suche nach Lop Dateien - Ordnern

   Kein Lop Ordner gefunden ! 
 
   --------------------\\  Suche innerhalb der Registry
 
   ..... OK !

   --------------------\\  Ueberpruefung der Hosts Datei

   Hosts Datei SAUBER


   --------------------\\  Suche nach verborgenen Dateien mit Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2009-05-05 23:29:03
   Windows 5.1.2600 Service Pack 3 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 0
 
   --------------------\\  Suche nach anderen Infektionen

   --------------------\\  Cracks & Keygens ..

   C:\DOKUME~1\MOAMER~1\Eigene Dateien\CS Condition Zero\CS.Condition.Zero.LanVersion\Keygen Czero wichtig!!!!.txt
   C:\DOKUME~1\MOAMER~1\Eigene Dateien\CS Condition Zero\CS.Condition.Zero.LanVersion\Condition Zero\Keygen Czero wichtig!!!!.txt
   C:\DOKUME~1\MOAMER~1\Eigene Dateien\Eigene Musik\Strana\Massiv\Blut gegen Blut\23 - Mein Crack (feat VS Mafia).mp3
   C:\DOKUME~1\MOAMER~1\Eigene Dateien\Eigene Musik\Strana\The Game\The Black Wall Street Journal Volume 1\100 bars of crack.mp3
   C:\DOKUME~1\MOAMER~1\Recent\Keygen Czero wichtig!!!!.txt.lnk


   [F:93][D:9]-> C:\DOKUME~1\MOAMER~1\LOKALE~1\Temp
   [F:19][D:0]-> C:\DOKUME~1\MOAMER~1\Cookies
   [F:1107][D:5]-> C:\DOKUME~1\MOAMER~1\LOKALE~1\TEMPOR~1\content.IE5

   1 - "C:\Lop SD\LopR_1.txt" - 04.05.2009|23:11 - Option : [1]
   2 - "C:\Lop SD\LopR_2.txt" - 05.05.2009|23:30 - Option : [2]

   --------------------\\  Scan beendet um 23:30:50

2.) erledigt

3.)

Code:

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/06/2009 at 00:56 AM

Application Version : 4.26.1002

Core Rules Database Version : 3878
Trace Rules Database Version: 1826

Scan type       : Complete Scan
Total Scan Time : 01:07:20

Memory items scanned      : 516
Memory threats detected   : 0
Registry items scanned    : 5894
Registry threats detected : 0
File items scanned        : 118478
File threats detected     : 2

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Moamer Hamzic\Cookies\moamer_hamzic@doubleclick[1].txt
	C:\Dokumente und Einstellungen\Moamer Hamzic\Cookies\moamer_hamzic@atdmt[2].txt

mfg

john.doe · 06.05.2009, 16:00

1.) Was hast du denn da auf dem Desktop?

Zitat:

C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop\data002

2.) Deinstalliere:

SuperAntiSpyware.
PrevxCSI
CureIt

3.) Überprüfe den Rechner mit dem AVP-Tool

4.) Lade dir nochmal ein neues ComboFix.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

File::
C:\Dokumente und Einstellungen\Moamer Hamzic\Desktop\data002
c:\windows\system32\btncopyd.dll
j:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

BV:AutoRun-G[Wrm] in J:\autorun.inf

Plagegeister aller Art und deren Bekämpfung: BV:AutoRun-G[Wrm] in J:\autorun.inf