BV:AutoRun-G[Wrm] in J:\autorun.inf

sweetchuck · 06.05.2009, 19:35

Hier das geforderte Log:

Code:

ATTFilter

ComboFix 09-05-05.05 - XXX 06.05.2009 20:24.4 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1401 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Moamer Hamzic\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Moamer Hamzic\Desktop\cfscript.txt
AV: avast! antivirus 4.8.1335 [VPS 090505-0] *On-access scanning disabled* (Updated)

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
c:\dokumente und einstellungen\Moamer Hamzic\Desktop\data002
c:\windows\system32\btncopyd.dll
j:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\btncopyd.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2009-04-06 bis 2009-05-06  ))))))))))))))))))))))))))))))
.

2009-05-03 13:57 . 2009-05-03 13:57	--------	d-----w	c:\dokumente und einstellungen\Moamer Hamzic\Anwendungsdaten\Malwarebytes
2009-05-03 13:57 . 2009-04-06 13:32	15504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-05-03 13:57 . 2009-04-06 13:32	38496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-03 13:57 . 2009-05-03 13:57	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-03 13:57 . 2009-05-03 13:57	--------	d-----w	c:\programme\Malwarebytes' Anti-Malware
2009-05-03 11:11 . 2009-05-03 11:11	--------	d-----w	c:\programme\CCleaner
2009-04-28 19:46 . 2009-04-28 19:45	102664	----a-w	c:\windows\system32\drivers\tmcomm.sys
2009-04-28 19:45 . 2009-04-28 20:43	--------	d-----w	c:\dokumente und einstellungen\Moamer Hamzic\.housecall6.6
2009-04-28 18:55 . 2009-04-28 18:55	--------	d-----w	c:\programme\Trend Micro
2009-04-24 22:39 . 2009-03-10 20:18	455048	----a-w	c:\windows\system32\KB905474\wgasetup.exe
2009-04-24 22:39 . 2009-04-24 22:39	--------	d-----w	c:\windows\system32\KB905474
2009-04-24 22:39 . 2009-03-10 20:26	1436544	----a-w	c:\windows\system32\KB905474\wganotifypackageinner.exe
2009-04-16 08:44 . 2009-04-16 08:44	--------	d-sh--w	c:\dokumente und einstellungen\Moamer Hamzic\IECompatCache
2009-04-15 16:55 . 2009-02-06 10:10	227840	-c----w	c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 16:55 . 2009-03-06 14:19	286720	-c----w	c:\windows\system32\dllcache\pdh.dll
2009-04-15 16:55 . 2009-02-09 11:21	111104	-c----w	c:\windows\system32\dllcache\services.exe
2009-04-15 16:55 . 2009-02-09 10:51	401408	-c----w	c:\windows\system32\dllcache\rpcss.dll
2009-04-15 16:55 . 2009-02-09 10:51	473600	-c----w	c:\windows\system32\dllcache\fastprox.dll
2009-04-15 16:55 . 2009-02-09 10:51	678400	-c----w	c:\windows\system32\dllcache\advapi32.dll
2009-04-15 16:55 . 2009-02-09 10:51	736768	-c----w	c:\windows\system32\dllcache\lsasrv.dll
2009-04-15 16:55 . 2009-02-09 10:51	453120	-c----w	c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 16:55 . 2009-02-09 10:51	740352	-c----w	c:\windows\system32\dllcache\ntdll.dll
2009-04-15 15:43 . 2008-04-21 21:13	217600	-c----w	c:\windows\system32\dllcache\wordpad.exe
2009-04-13 13:18 . 2009-04-13 13:18	--------	d-----w	c:\dokumente und einstellungen\Moamer Hamzic\Anwendungsdaten\CoSoSys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-06 18:26 . 2009-05-03 21:05	28880	--sha-w	c:\windows\system32\drivers\fidbox.idx
2009-05-06 18:26 . 2009-05-03 21:05	2283552	--sha-w	c:\windows\system32\drivers\fidbox.dat
2009-05-06 16:42 . 2009-05-05 21:41	--------	d-----w	c:\dokumente und einstellungen\Moamer Hamzic\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-06 16:42 . 2009-05-05 21:41	--------	d-----w	c:\programme\SUPERAntiSpyware
2009-05-06 16:42 . 2008-08-27 12:21	--------	d-----w	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-05-05 23:13 . 2009-05-05 23:13	--------	d-----w	c:\dokumente und einstellungen\Administrator.MOE-PC\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-05 21:41 . 2009-05-05 21:41	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-03 23:53 . 2009-02-27 09:31	--------	d-----w	c:\programme\Google
2009-05-03 23:52 . 2009-05-03 19:17	--------	d-----w	c:\programme\Panda Security
2009-05-03 12:27 . 2008-07-31 12:42	83424	----a-w	c:\dokumente und einstellungen\Moamer Hamzic\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-10 13:27 . 2008-07-31 11:12	--------	d--h--w	c:\programme\InstallShield Installation Information
2009-04-07 15:38 . 2009-03-19 11:17	--------	d-----w	c:\programme\Java
2009-04-04 16:18 . 2009-04-04 16:18	--------	d-----w	c:\programme\Ubisoft Entertainment
2009-03-27 19:00 . 2009-03-27 19:00	--------	d-----w	c:\programme\Ubisoft
2009-03-27 15:11 . 2009-03-27 14:20	--------	d-----w	c:\programme\Left 4 Dead
2009-03-17 08:14 . 2009-03-17 08:13	--------	d-----w	c:\programme\Gemeinsame Dateien\Macromedia
2009-03-17 08:13 . 2009-03-17 08:13	--------	d-----w	c:\programme\Macromedia
2009-03-13 09:21 . 2009-03-13 08:53	--------	d-----w	c:\programme\XMind
2009-03-12 16:25 . 2008-07-31 11:28	5051904	----a-w	c:\windows\system32\drivers\RtkHDAud.sys
2009-03-12 16:21 . 2008-07-31 11:28	17531392	----a-w	c:\windows\RTHDCPL.EXE
2009-03-12 14:34 . 2009-03-25 18:05	39424	----a-w	c:\windows\system32\RtkCoInstXP.dll
2009-03-10 13:32 . 2008-07-31 11:28	2168320	----a-w	c:\windows\MicCal.exe
2009-03-09 20:26 . 2009-03-04 16:36	977	----a-w	c:\windows\eReg.dat
2009-03-09 03:19 . 2008-10-10 08:28	410984	----a-w	c:\windows\system32\deploytk.dll
2009-03-08 02:34 . 2004-11-11 13:00	914944	----a-w	c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2004-11-11 13:00	43008	----a-w	c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2004-11-11 13:00	18944	----a-w	c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2004-11-11 13:00	420352	----a-w	c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2004-11-11 13:00	72704	----a-w	c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2004-11-11 13:00	71680	----a-w	c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2004-11-11 13:00	34816	----a-w	c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2004-11-11 13:00	48128	----a-w	c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2004-11-11 13:00	45568	----a-w	c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2004-11-11 13:00	156160	----a-w	c:\windows\system32\msls31.dll
2009-03-06 14:19 . 2004-11-11 13:00	286720	----a-w	c:\windows\system32\pdh.dll
2009-03-02 10:14 . 2008-07-31 11:28	57344	----a-w	c:\windows\ALCMTR.EXE
2009-03-01 13:50 . 2009-03-01 13:50	664	----a-w	c:\windows\system32\d3d9caps.dat
2009-02-09 14:04 . 2004-11-11 13:00	1846912	----a-w	c:\windows\system32\win32k.sys
2009-02-09 11:21 . 2004-08-04 00:50	2026496	----a-w	c:\windows\system32\ntkrnlpa.exe
2009-02-09 11:21 . 2004-11-11 13:00	2147840	----a-w	c:\windows\system32\ntoskrnl.exe
2009-02-09 11:21 . 2004-11-11 13:00	111104	----a-w	c:\windows\system32\services.exe
2009-02-09 10:51 . 2004-11-11 13:00	736768	----a-w	c:\windows\system32\lsasrv.dll
2009-02-09 10:51 . 2004-11-11 13:00	401408	----a-w	c:\windows\system32\rpcss.dll
2009-02-09 10:51 . 2004-11-11 13:00	678400	----a-w	c:\windows\system32\advapi32.dll
2009-02-09 10:51 . 2004-11-11 13:00	740352	----a-w	c:\windows\system32\ntdll.dll
2009-02-06 10:39 . 2004-11-11 13:00	35328	----a-w	c:\windows\system32\sc.exe
2008-10-06 07:15 . 2008-10-06 07:15	14852	----a-w	c:\programme\settings.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"SynTPStart"="c:\programme\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 995328]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 1101824]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-11 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-11 81920]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"PLFSet"="c:\windows\PLFSet.dll" [2007-04-25 45056]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-04-04 421888]
"Boot"="c:\acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 579584]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]

c:\dokumente und einstellungen\Moamer Hamzic\Startmen\Programme\Autostart\
Mousometer.lnk - c:\dokumente und einstellungen\Moamer Hamzic\Desktop\mousometer.exe [2008-10-10 140288]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2008-8-1 45056]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-1-17 618557]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Hamachi\\hamachi.exe"=
"d:\\Setup\\Gamez\\CS Condition Zero\\CS.Condition.Zero.LanVersion\\Condition Zero\\czero.exe"=
"d:\\Setup\\Gamez\\CS Condition Zero\\CS.Condition.Zero.LanVersion\\Condition Zero\\hltv.exe"=
"d:\\Setup\\Gamez\\TmNationsForever\\TmForever.exe"=
"c:\\Programme\\Maxima-5.16.3\\wxMaxima\\wxMaxima.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\KONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Moamer Hamzic\\Eigene Dateien\\Schule\\E\\TeamViewer\\TeamViewer.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Ubisoft\\Tom Clancy's H.A.W.X\\HAWX.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [31.07.2008 16:47 114768]
R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [27.07.2007 10:13 330144]
R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [27.07.2007 12:46 251680]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [31.07.2008 16:47 20560]
R2 BPowMon;Broadcom Power monitoring service;c:\programme\Broadcom\BACS\BPowMon.exe [31.08.2006 17:04 65536]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [25.03.2009 20:05 1684736]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
uInternet Settings,ProxyServer = proxy.salzburg.at:82
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\Moamer Hamzic\Anwendungsdaten\Mozilla\Firefox\Profiles\ob855iar.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.at/
FF - prefs.js: network.proxy.ftp - proxy.salzburg.at
FF - prefs.js: network.proxy.ftp_port - 82
FF - prefs.js: network.proxy.gopher - proxy.salzburg.at
FF - prefs.js: network.proxy.gopher_port - 82
FF - prefs.js: network.proxy.http - proxy.salzburg.at
FF - prefs.js: network.proxy.http_port - 82
FF - prefs.js: network.proxy.socks - proxy.salzburg.at
FF - prefs.js: network.proxy.socks_port - 82
FF - prefs.js: network.proxy.ssl - proxy.salzburg.at
FF - prefs.js: network.proxy.ssl_port - 82
FF - prefs.js: network.proxy.type - 4
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-06 20:29
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2000478354-1123561945-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:68,de,a1,13,3c,62,e2,77,52,b7,42,f3,2e,9e,91,44,63,8e,73,e3,0d,
   07,85,05,98,4a,86,7d,14,d0,69,a4,9a,80,dc,d4,51,cd,8c,bb,82,21,0c,6c,84,3e,\
"rkeysecu"=hex:62,8e,1e,e2,29,cc,f0,0b,16,13,2e,53,74,95,18,8f
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1008)
c:\windows\system32\netprovcredman.dll

- - - - - - - > 'explorer.exe'(3760)
c:\acer\Empowering Technology\ePower\SysHook.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\Alwil Software\Avast4\ashServ.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\Synaptics\SynTP\SynTPEnh.exe
c:\windows\system32\rundll32.exe
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
c:\windows\system32\wbem\unsecapp.exe
c:\progra~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-06 20:32 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-05-06 18:32
ComboFix2.txt  2009-05-03 12:30

Vor Suchlauf: 14 Verzeichnis(se), 55.069.929.472 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 55.318.335.488 Bytes frei

227	--- E O F ---	2009-04-28 20:44

Ich habe mittlerweile keine Dateien mehr auf meinem USB-Stick, weder eine autorun.inf noch einen Recycler-Ordner.

Das AVP-Tool hat gar nichts gefunden.

mfg

john.doe · 06.05.2009, 20:40

Logs sind alle sauber. Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten?

Start => Ausführen => combofix /u => OK

ciao, andreas

sweetchuck · 06.05.2009, 20:47

Nein, keine Auffälligkeiten!

Avast meldet keine Gefahren, Kaspersky hat auch keine gemeldet!

Auf dem Stick erscheinen keine Dateien mehr... sieht alles in Ordnung aus!

mfg

john.doe · 06.05.2009, 20:48

Dann bist du entlassen.

Alle Programme, die wir eingesetzt haben, können deinstalliert/gelöscht werden.

ciao, andreas

sweetchuck · 06.05.2009, 20:53

Ich bedanke mich herlich für deine Hilfe. :aplaus::aplaus:

Ohne dich wäre das nicht möglich gewesen.

mach weiter so, solche hilfsbereiten menschen braucht die welt!

Ich hoffe dass ich hier nicht mehr so bald nach Hilfe fragen muss..

aber bis dahin.. keep it real!

mfg

BV:AutoRun-G[Wrm] in J:\autorun.inf

Plagegeister aller Art und deren Bekämpfung: BV:AutoRun-G[Wrm] in J:\autorun.inf