Trojaner / Rootkit

Holo · 18.05.2009, 20:06

Erstmal ein herzliches Dankeschön für die Hilfestellung.

Hier die Logdatei: (antivir guard hab ich vor dem start deaktiviert, nach dem reboot zum löschen der Dateien war es jedoch aktiv, hab bei Trojandermeldungen auf "ignorieren" gedrückt, um combofix nicht zu beeinträchtigen)

ComboFix 09-05-17.08 - Rob 18.05.2009 20:55.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1535.1181 [GMT 2:00]
ausgeführt von:: f:\dokumente und einstellungen\Rob\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\xcrashdump.dat
f:\dokumente und einstellungen\Rob\protect.dll
f:\windows\system32\autochk.dll
f:\windows\system32\config\systemprofile\protect.dll
f:\windows\system32\drivers\ovfsthxoiseqyfw.sys
f:\windows\system32\lmn_setup.exe
f:\windows\system32\ovfsthxchtixjqj.dll
f:\windows\system32\ovfsthxieeixvsp.dat
f:\windows\system32\ovfsthxigthsurw.dll
f:\windows\system32\ovfsthxkijposww.dll
f:\windows\system32\ovfsthxkpfvnprp.dll
f:\windows\system32\ovfsthxlxjmehod.dll
f:\windows\system32\ovfsthxnsrwwrwk.dll
f:\windows\system32\ovfsthxolqoxvco.dat
f:\windows\system32\ovfsthxqrnmbcmq.dll
f:\windows\system32\ovfsthxrnmckynv.dat
f:\windows\system32\ovfsthxsttyctcm.dll
f:\windows\system32\ovfsthxtgescedc.dll
f:\windows\system32\ovfsthxvnqrcenm.dat
f:\windows\system32\ovfsthxvswwmlvd.dat
f:\windows\system32\uniq.tll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthxbntddddy

((((((((((((((((((((((( Dateien erstellt von 2009-04-18 bis 2009-05-18 ))))))))))))))))))))))))))))))
.

2009-05-18 18:27 . 2009-03-24 14:08 55640 ----a-w f:\windows\system32\drivers\avgntflt.sys
2009-05-18 18:27 . 2009-05-18 18:27 -------- d-----w f:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-05-18 18:27 . 2009-05-18 18:27 -------- d-----w f:\programme\Avira
2009-05-18 18:17 . 2009-05-18 18:17 -------- d-----w f:\programme\Sophos
2009-05-18 13:29 . 2009-05-18 13:29 -------- d-----w f:\dokumente und einstellungen\Rob\Anwendungsdaten\Malwarebytes
2009-05-18 13:29 . 2009-04-06 13:32 15504 ----a-w f:\windows\system32\drivers\mbam.sys
2009-05-18 13:29 . 2009-04-06 13:32 38496 ----a-w f:\windows\system32\drivers\mbamswissarmy.sys
2009-05-18 13:29 . 2009-05-18 13:29 -------- d-----w f:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-18 13:29 . 2009-05-18 13:29 -------- d-----w f:\programme\Malwarebytes' Anti-Malware
2009-05-18 13:19 . 2009-05-18 13:19 -------- d-----w f:\programme\CCleaner
2009-05-18 12:41 . 2009-05-18 12:41 -------- d-----w f:\programme\Avira GmbH
2009-05-18 12:27 . 2009-05-18 12:32 -------- d-----w f:\windows\BDOSCAN8
2009-05-18 12:07 . 2009-05-16 16:06 20480 ----a-w f:\windows\system32\tj.exe
2009-05-18 12:07 . 2009-05-18 12:07 107244 ----a-w f:\windows\system32\vp_setup.exe
2009-05-18 11:42 . 2009-05-18 11:42 37376 ----a-w f:\windows\system32\glsetup.exe
2009-05-11 05:27 . 2008-04-13 18:45 26368 -c--a-w f:\windows\system32\dllcache\usbstor.sys
2009-05-08 19:27 . 2009-05-08 19:27 -------- d-----w f:\programme\Ventrilo Mix 1.0
2009-04-30 09:43 . 2009-04-30 09:43 -------- d-----w f:\programme\Trend Micro
2009-04-30 01:02 . 2009-04-30 01:02 -------- d-----w f:\windows\system32\config\systemprofile\Eigene Dateien
2009-04-30 01:02 . 2009-04-30 01:02 -------- d-----w f:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Opera
2009-04-30 00:11 . 2009-04-30 00:12 -------- d-----w f:\dokumente und einstellungen\Rob\Anwendungsdaten\Media Player Classic
2009-04-30 00:11 . 2003-03-19 03:14 499712 ----a-w f:\windows\system32\msvcp71.dll
2009-04-30 00:11 . 2004-01-11 22:00 348160 ----a-w f:\windows\system32\msvcr71.dll
2009-04-26 21:04 . 2009-04-26 21:04 23600 ----a-w f:\windows\system32\drivers\TVICHW32.SYS
2009-04-26 21:04 . 2009-04-26 21:04 -------- d-----w f:\dokumente und einstellungen\Rob\Lokale Einstellungen\Anwendungsdaten\eSupport.com
2009-04-26 19:49 . 2008-02-25 19:05 593920 ------w f:\windows\system32\ati2sgag.exe
2009-04-26 18:42 . 2009-04-26 18:42 -------- d-----w f:\dokumente und einstellungen\Rob\Anwendungsdaten\ATI
2009-04-26 18:42 . 2009-04-26 18:42 -------- d-----w f:\dokumente und einstellungen\Rob\Lokale Einstellungen\Anwendungsdaten\ATI
2009-04-26 18:28 . 2009-04-26 18:28 -------- d-----w f:\windows\system32\XPSViewer
2009-04-26 18:28 . 2009-04-26 18:28 -------- d-----w f:\programme\MSBuild
2009-04-26 18:27 . 2009-04-26 18:27 -------- d-----w f:\programme\Reference Assemblies
2009-04-26 18:27 . 2008-07-06 12:06 117760 ------w f:\windows\system32\prntvpt.dll
2009-04-26 18:27 . 2008-07-06 12:06 89088 -c----w f:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-04-26 18:27 . 2008-07-06 10:50 597504 -c----w f:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-04-26 18:27 . 2008-07-06 12:06 575488 -c----w f:\windows\system32\dllcache\xpsshhdr.dll
2009-04-26 18:27 . 2008-07-06 12:06 575488 ------w f:\windows\system32\xpsshhdr.dll
2009-04-26 18:27 . 2008-07-06 12:06 1676288 -c----w f:\windows\system32\dllcache\xpssvcs.dll
2009-04-26 18:27 . 2008-07-06 12:06 1676288 ------w f:\windows\system32\xpssvcs.dll
2009-04-26 17:43 . 2009-04-26 17:43 0 ----a-w f:\windows\ativpsrm.bin
2009-04-26 17:20 . 2009-04-26 19:38 -------- d-----w f:\programme\ATI Technologies
2009-04-26 17:19 . 2009-04-26 19:58 -------- d-----w F:\ATI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-18 12:41 . 2008-09-25 07:02 -------- d--h--w f:\programme\InstallShield Installation Information
2009-05-03 04:01 . 2008-10-10 16:25 -------- d-----w f:\programme\Curse
2009-04-26 18:42 . 2008-09-25 06:14 22808 ----a-w f:\dokumente und einstellungen\Rob\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-26 18:31 . 2003-04-02 12:00 80092 ----a-w f:\windows\system32\perfc007.dat
2009-04-26 18:31 . 2003-04-02 12:00 448396 ----a-w f:\windows\system32\perfh007.dat
2009-04-26 17:20 . 2008-09-25 06:16 -------- d-----w f:\programme\Gemeinsame Dateien\InstallShield
2009-04-26 14:53 . 2008-09-25 05:47 -------- d-----w f:\programme\SystemRequirementsLab
2009-04-14 09:05 . 2009-04-14 09:04 -------- d-----w f:\programme\Gemeinsame Dateien\Adobe
2009-03-06 14:19 . 2003-04-02 12:00 286720 ----a-w f:\windows\system32\pdh.dll
2009-03-05 01:50 . 2009-03-05 01:50 410984 ----a-w f:\windows\system32\deploytk.dll
2009-03-03 00:03 . 2003-04-02 12:00 826368 ----a-w f:\windows\system32\wininet.dll
2009-02-20 16:49 . 2004-08-04 07:57 78336 ------w f:\windows\system32\ieencode.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="f:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="f:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="f:\programme\Java\jre6\bin\jusched.exe" [2009-03-05 136600]
"NvMediaCenter"="f:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"NvCplDaemon"="f:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"avgnt"="f:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - f:\windows\system32\nwiz.exe [2008-05-16 1630208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="f:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

f:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
ChkDisk.dll [2009-5-18 23552]

f:\windows\system32\config\systemprofile\Startmen\Programme\Autostart\
ChkDisk.dll [2009-5-18 23552]

f:\dokumente und einstellungen\Rob\Startmen\Programme\Autostart\
ChkDisk.dll [2009-5-18 23552]
ChkDisk.lnk - f:\windows\system32\rundll32.exe [2003-4-2 33792]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[HKLM\~\startupfolder\F:^Dokumente und Einstellungen^Rob^Startmenü^Programme^Autostart^ChkDisk.dll]
path=f:\dokumente und einstellungen\Rob\Startmenü\Programme\Autostart\ChkDisk.dll
backup=f:\windows\pss\ChkDisk.dllStartup

[HKLM\~\startupfolder\F:^Dokumente und Einstellungen^Rob^Startmenü^Programme^Autostart^ChkDisk.lnk]
path=f:\dokumente und einstellungen\Rob\Startmenü\Programme\Autostart\ChkDisk.lnk
backup=f:\windows\pss\ChkDisk.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"f:\\Programme\\Curse\\CurseClient.exe"=
"g:\\World of Warcraft\\Repair.exe"=
"f:\\Programme\\Opera\\opera.exe"=
"f:\\Programme\\uTorrent\\uTorrent.exe"=
"g:\\World of Warcraft\\Launcher.exe"=
"g:\\World of Warcraft\\WoW-3.0.9.9551-to-3.1.0.9767-deDE-downloader.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R2 AntiVirSchedulerService;Avira AntiVir Planer;f:\programme\Avira\AntiVir Desktop\sched.exe [18.05.2009 20:27 108289]
S3 FLASHSYS;FLASHSYS;f:\windows\system32\drivers\FlashSys.sys [31.01.2008 17:18 9216]
S3 MEMSWEEP2;MEMSWEEP2;\??\f:\windows\system32\27.tmp --> f:\windows\system32\27.tmp [?]
S3 WEBNTACCESS;WEBNTACCESS;f:\windows\system32\Ntaccess.sys [13.04.2008 11:21 17920]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-RAM_DEFRAG - (no file)
HKU-Default-Run-Windows Resurections - f:\windows\TEMP\o6ij0ve82.exe
HKU-Default-Run-svc - c:\program files\ThunMail\testabd.exe

.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - f:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: com.tw\asia.msi
Trusted Zone: com.tw\global.msi
Trusted Zone: com.tw\www.msi
DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} - hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-18 20:57
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\f:\windows\system32\27.tmp"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(648)
f:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-05-18 20:58
ComboFix-quarantined-files.txt 2009-05-18 18:58

Vor Suchlauf: 7.902.720.000 Bytes frei
Nach Suchlauf: 8.855.998.464 Bytes frei

177 --- E O F --- 2009-05-14 01:01

Trojaner / Rootkit

Plagegeister aller Art und deren Bekämpfung: Trojaner / Rootkit

Trojaner / Rootkit

Ähnliche Themen: Trojaner / Rootkit