Schicke Pornosammlung hast du im Ordner C:\Downloads

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-

Folder::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\19897504
c:\dokumente und einstellungen\All Users\Anwendungsdaten\99907496
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Bitteschön :

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 09-05-22.05 - Nvidia 23.05.2009  5:26.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1600 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Nvidia\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Nvidia\Desktop\cfscript.txt
.

(((((((((((((((((((((((   Dateien erstellt von 2009-04-23 bis 2009-05-23  ))))))))))))))))))))))))))))))
.

2009-05-21 20:46 . 2009-05-21 20:46	14080	----a-w	c:\dokumente und einstellungen\Nvidia\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-21 20:36 . 2009-05-21 20:36	--------	d-----w	c:\programme\AskBardis
2009-05-21 20:26 . 2009-05-21 20:26	--------	d-----w	c:\programme\MSN Messenger
2009-05-21 01:49 . 2009-05-21 01:49	--------	d-----w	c:\dokumente und einstellungen\Nvidia\Anwendungsdaten\Malwarebytes
2009-05-20 22:06 . 2009-05-20 22:08	664	----a-w	c:\windows\system32\d3d9caps.dat
2009-05-20 12:32 . 2009-03-24 14:08	55640	----a-w	c:\windows\system32\drivers\avgntflt.sys
2009-05-20 12:28 . 2009-05-20 12:26	102664	----a-w	c:\windows\system32\drivers\tmcomm.sys
2009-05-20 02:59 . 2009-05-20 02:59	--------	d-----w	c:\programme\CCleaner
2009-05-20 02:47 . 2009-05-20 02:47	--------	d-----w	c:\programme\Trend Micro
2009-05-20 02:22 . 2009-03-26 14:49	15504	----a-w	c:\windows\system32\drivers\mbam.sys
2009-05-20 02:22 . 2009-03-26 14:49	38496	----a-w	c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-20 02:22 . 2009-05-20 02:22	--------	d-----w	c:\programme\Malwarebytes' Anti-Malware
2009-05-20 02:22 . 2009-05-20 02:22	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-19 12:28 . 2009-05-19 12:28	--------	d-----r	c:\dokumente und einstellungen\LocalService\Favoriten

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-23 03:28 . 2009-04-14 01:26	--------	d-----w	c:\dokumente und einstellungen\Nvidia\Anwendungsdaten\SimpleScreenshot
2009-05-21 19:53 . 2009-04-04 19:38	--------	d-----w	c:\programme\Windows Live
2009-05-21 01:38 . 2009-04-15 23:14	--------	d-----w	c:\dokumente und einstellungen\Nvidia\Anwendungsdaten\uTorrent
2009-05-06 01:17 . 2009-04-05 22:37	--------	d-----w	c:\dokumente und einstellungen\Nvidia\Anwendungsdaten\Azureus
2009-04-24 00:31 . 2009-04-06 22:37	--------	d-----w	c:\dokumente und einstellungen\Nvidia\Anwendungsdaten\dvdcss
2009-04-19 00:02 . 2009-04-07 18:01	--------	d---a-w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-04-18 23:54 . 2009-04-07 17:32	--------	d-----w	c:\dokumente und einstellungen\Nvidia\Anwendungsdaten\Desktopicon
2009-04-15 13:22 . 2009-04-15 13:22	--------	d-----w	c:\programme\Video Thumbnails Maker
2009-04-14 01:26 . 2009-04-14 01:26	--------	d-----w	c:\programme\SSS
2009-04-14 01:18 . 2009-04-14 01:17	--------	d-----w	c:\programme\Hardcopy
2009-04-14 01:16 . 2009-04-14 01:16	--------	d-----w	c:\programme\UnderCoverXP
2009-04-14 01:14 . 2009-04-14 01:14	--------	d-----w	c:\programme\IrfanView
2009-04-13 13:35 . 2009-04-13 13:35	--------	d-----w	c:\programme\Image Grabber II
2009-04-09 00:18 . 2009-04-09 00:18	--------	d-----w	c:\dokumente und einstellungen\Nvidia\Anwendungsdaten\Media Player Classic
2009-04-07 18:01 . 2009-04-07 18:01	--------	d-----w	c:\programme\Boilsoft Video Joiner
2009-04-07 17:39 . 2009-04-07 17:39	--------	d-----w	c:\programme\AviSynth 2.5
2009-04-07 17:38 . 2009-04-07 17:38	--------	d-----w	c:\programme\eRightSoft
2009-04-07 17:32 . 2009-04-07 17:32	--------	d-----w	c:\dokumente und einstellungen\Nvidia\Anwendungsdaten\Toolbars
2009-04-07 17:32 . 2009-04-07 17:32	--------	d-----w	c:\programme\Audiograbber
2009-04-07 17:28 . 2009-04-07 17:27	--------	d-----w	c:\programme\CDex_170b2
2009-04-06 21:36 . 2009-04-04 19:41	--------	d-----w	c:\programme\Microsoft Silverlight
2009-04-06 02:13 . 2009-04-06 02:12	--------	d-----w	c:\dokumente und einstellungen\Nvidia\Anwendungsdaten\vlc
2009-04-06 02:08 . 2009-04-06 02:08	--------	d-----w	c:\dokumente und einstellungen\Nvidia\Anwendungsdaten\Verimount
2009-04-05 23:48 . 2009-04-05 23:48	--------	d-----w	c:\programme\Verimount
2009-04-05 23:48 . 2009-04-05 23:48	--------	d-----w	c:\programme\VideoLAN
2009-04-05 22:37 . 2009-04-05 22:37	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Azureus
2009-04-04 19:39 . 2009-04-04 19:39	--------	d-----w	c:\programme\Windows Live SkyDrive
2009-04-04 19:32 . 2009-04-04 19:32	--------	d-----w	c:\programme\Gemeinsame Dateien\Windows Live
2009-04-04 18:47 . 2009-04-04 18:47	--------	d-----w	c:\programme\K-Lite Codec Pack
2009-04-04 18:40 . 2009-04-04 18:40	--------	d-----w	c:\dokumente und einstellungen\Nvidia\Anwendungsdaten\Canneverbe_Limited
2009-04-04 18:40 . 2009-04-04 18:40	--------	d-----w	c:\programme\CDBurnerXP
2009-04-04 17:31 . 2009-04-04 17:31	0	----a-w	c:\windows\nsreg.dat
2009-04-03 23:26 . 2009-04-03 23:17	--------	d-----w	c:\programme\NOS
2009-04-03 23:26 . 2009-04-03 23:17	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-04-03 23:23 . 2009-04-03 23:23	410984	----a-w	c:\windows\system32\deploytk.dll
2009-04-03 23:23 . 2009-04-03 23:23	--------	d-----w	c:\programme\Java
2009-04-03 23:22 . 2009-04-03 23:22	152576	----a-w	c:\dokumente und einstellungen\Nvidia\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-04-03 23:18 . 2009-04-03 23:18	--------	d-----w	c:\programme\Gemeinsame Dateien\Adobe
2009-04-03 23:00 . 2009-04-03 23:00	--------	d-----w	c:\programme\MSBuild
2009-04-03 23:00 . 2009-04-03 23:00	--------	d-----w	c:\programme\Reference Assemblies
2009-04-03 22:57 . 2009-04-03 22:57	--------	d-----w	c:\programme\MSXML 4.0
2009-04-03 22:53 . 2009-04-03 22:53	--------	d-----w	c:\programme\Windows Media Connect 2
2009-04-03 22:35 . 2009-04-03 18:35	86327	----a-w	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-04-03 22:20 . 2009-04-03 22:20	--------	d-----w	c:\dokumente und einstellungen\Nvidia\Anwendungsdaten\TerraTec
2009-04-03 22:20 . 2009-04-03 22:20	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TerraTec
2009-04-03 22:20 . 2009-04-03 22:20	--------	d-----w	c:\programme\Gemeinsame Dateien\TerraTec
2009-04-03 22:20 . 2009-04-03 22:20	--------	d-----w	c:\programme\TerraTec
2009-04-03 22:20 . 2009-04-03 19:41	--------	d--h--w	c:\programme\InstallShield Installation Information
2009-04-03 22:06 . 2009-04-03 22:06	20747	----a-w	c:\windows\system32\drivers\AegisP.sys
2009-04-03 22:06 . 2009-04-03 22:05	--------	d-----w	c:\programme\Linksys Wireless-G PCI Wireless Network Monitor
2009-04-03 22:05 . 2009-04-03 19:41	--------	d-----w	c:\programme\Gemeinsame Dateien\InstallShield
2009-04-03 21:43 . 2009-04-03 21:43	--------	d-----w	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2009-04-03 19:43 . 2009-04-03 19:43	--------	d-----w	c:\programme\Attansic
2009-04-03 19:41 . 2009-04-03 19:41	--------	d-----w	c:\programme\Realtek
2009-04-03 19:41 . 2009-04-03 19:41	315392	----a-w	c:\windows\HideWin.exe
2009-04-03 19:33 . 2009-04-03 19:33	--------	d-----w	c:\programme\Intel
2009-04-03 18:35 . 2009-04-03 18:35	--------	d-----w	c:\programme\microsoft frontpage
2009-04-03 18:34 . 2009-04-03 18:34	--------	d-----w	c:\programme\Gemeinsame Dateien\Dienste
2009-04-03 18:33 . 2009-04-03 18:33	21740	----a-w	c:\windows\system32\emptyregdb.dat
2009-03-06 14:19 . 2004-08-05 12:00	286720	----a-w	c:\windows\system32\pdh.dll
2009-03-05 09:07 . 2009-04-14 01:17	501760	----a-w	c:\windows\SwSetupu.exe
2009-03-03 00:03 . 2004-08-05 12:00	826368	----a-w	c:\windows\system32\wininet.dll
2009-03-02 18:10 . 2009-04-04 18:47	67584	----a-w	c:\windows\system32\ff_vfw.dll
2006-05-03 10:06 . 2009-04-07 17:38	163328	--sh--r	c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2009-04-07 17:38	31232	--sh--r	c:\windows\system32\msfDX.dll
2008-03-16 13:30 . 2009-04-07 17:38	216064	--sh--r	c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-05-20_22.26.13   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-23 03:28 . 2009-05-23 03:28	16384              c:\windows\temp\Perflib_Perfdata_770.dat
+ 2009-05-21 20:26 . 2009-05-21 20:26	22798              c:\windows\Installer\{0D93041A-03EC-11DA-BFBD-00065BBDC0B5}\MsblIco.Exe
+ 2006-01-24 17:34 . 2006-01-24 17:34	118784              c:\windows\system32\sirenacm.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2006-01-24 7094272]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TerraTec Remote Control"="c:\programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe" [2006-12-07 1032192]
"SimpleScreenshot"="c:\progra~1\SSS\SIMPLESCREENSHOT.EXE" [2008-02-09 2255360]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"Gainward"="c:\windows\TBPanel.exe" [2007-04-23 2173744]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-03-21 1953792]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-03-21 16126464]

c:\dokumente und einstellungen\Nvidia\Startmen�\Programme\Autostart\
Hardcopy.LNK - c:\programme\Hardcopy\hardcopy.exe [2009-4-14 1289728]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=

R3 3xHybrid;TerraTec BDA capture service;c:\windows\system32\drivers\3xHybrid.sys [20.07.2006 14:34 827008]
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\l151x86.sys [12.11.2008 14:54 37376]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - GTNDIS5
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-procexp90.Sys


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.ch/
IE: Crawler Search - tbr:iemenu
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - 
FF - ProfilePath - c:\dokumente und einstellungen\Nvidia\Anwendungsdaten\Mozilla\Firefox\Profiles\vcmecv8d.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - 
FF - prefs.js: browser.startup.homepage - www.google.ch
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q=
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-23 05:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2760)
c:\programme\Hardcopy\HcDLL2_28_Win32.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
c:\programme\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-23  5:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-05-23 03:29
ComboFix2.txt  2009-05-21 20:35
ComboFix3.txt  2009-05-20 22:26

Vor Suchlauf: 14 Verzeichnis(se), 254'713'438'208 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 254'702'886'912 Bytes frei

177	--- E O F ---	2009-05-13 00:54
         

Da tauchen ja ständig neue "Sünden" auf:

1.) Deinstalliere (falls möglich):

• Azureus (Virenschleuder)
• uTorrent (Virenschleuder)

2.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"=-
"ctfmon.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=-

Folder::
c:\dokumente und einstellungen\Nvidia\Anwendungsdaten\Azureus
c:\dokumente und einstellungen\Nvidia\Anwendungsdaten\uTorrent
c:\programme\Azureus
c:\programme\uTorrent
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas