IE funzt net und Viren vorhanden

john.doe · 29.07.2009, 17:10

Zitat:

aber am Ende stand nur dass mein rechner Infiziert ist.

Das hätte ich dir auch vorher sagen können.

ciao, andreas

nick · 30.07.2009, 14:17

Activ scan log:

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-07-30 15:16:11
PROTECTIONS: 1
MALWARE: 12
SUSPECTS: 7
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AVG Anti-Virus Free 8.5 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Gast\Cookies\gast@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Sara\Cookies\sara@atdmt[3].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Sara\Cookies\sara@atdmt[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Gast\Cookies\gast@atdmt[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Binayet\Cookies\binayet@atdmt[2].txt
00145457 Cookie/FastClick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Gast\Cookies\gast@fastclick[1].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Gast\Cookies\gast@mediaplex[2].txt
00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Gast\Cookies\gast@statcounter[2].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Binayet\Cookies\binayet@ad.yieldmanager[1].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Gast\Cookies\gast@apmebf[2].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Sara\Cookies\sara@serving-sys[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Binayet\Cookies\binayet@serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Sara\Cookies\sara@bs.serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Binayet\Cookies\binayet@bs.serving-sys[1].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Sara\Cookies\sara@weborama[2].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Binayet\Cookies\binayet@weborama[2].txt
02358274 Generic Trojan Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{2B3238B8-71D6-4DCA-A035-D6EECC7C8B3A}\RP273\A0230019.exe
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{2B3238B8-71D6-4DCA-A035-D6EECC7C8B3A}\RP276\A0232954.sys
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{2B3238B8-71D6-4DCA-A035-D6EECC7C8B3A}\RP276\A0232908.sys
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location R
;===================================================================================================================================================== ==============================
No C:\Dokumente und Einstellungen\Binayet\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\je1rj3xv.default\Cache\26C8AA2Ad01
No C:\Dokumente und Einstellungen\Binayet\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\je1rj3xv.default\Cache\5227742Ed01
No C:\Dokumente und Einstellungen\Binayet\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\je1rj3xv.default\Cache\868C7366d01
No C:\Dokumente und Einstellungen\Binayet\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\je1rj3xv.default\Cache\86A948A8d01
No C:\Dokumente und Einstellungen\Binayet\Lokale Einstellungen\Anwendungsdaten\Dyyno Receiver\DPPM.exe R
No D:\Programme\Goa\PangYa_Eu\ProjectG.exe R
No D:\System Volume Information\_restore{2B3238B8-71D6-4DCA-A035-D6EECC7C8B3A}\RP265\A0223826.exe[ProjectG.exe]
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description R
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

john.doe · 30.07.2009, 17:15

1.) Deinstalliere:

Adobe Flash Player 10 ActiveX
Adobe Flash Player Plugin
Adobe Reader 7.0 - Deutsch
Ask Toolbar
AVG Free 8.5
DAEMON Tools Toolbar
Java(TM) 6 Update 3
Norton Security Scan
Skype™ 3.6
Spybot - Search & Destroy
Unlocker 1.8.7
Yahoo! Toolbar mit Pop-Up-Blocker

2.) Download und Ausführung des Norton-Entfernungsprogramms (nur Schritt 1+2

)

3.) Installiere (Toolbars immer abwählen, Haken weg):

4.) Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
cpuz130
XDva093
XDva225
XDva269
LogWatch
CA_LIC_CLNT
CA_LIC_SRVR
npkcrypt
EagleNT
asjxvape

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=-
[-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-

File::
c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
c:\windows\Tasks\Norton Security Scan.job
c:\windows\system32\XDva269.sys
c:\windows\system32\XDva225.sys
c:\windows\system32\XDva093.sys

Folder::
c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\AskToolbar
C:\rsit
c:\programme\Norton Security Scan
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\programme\Ask.com
D:\hitfaker
D:\Programme\Warrock
C:\Programme\CA
D:\Programme\Spybot - Search & Destroy

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Symbol von Combofix ziehen!

Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

nick · 31.07.2009, 10:37

ComboFix 09-07-29.04 - ***** 31.07.2009 11:24.2.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.633 [GMT 2:00]
ausgeführt von:: D:\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\*****\Desktop\CFScript.txt
SP: Spy Emergency *disabled* (Updated) {773EE130-7EFF-422a-B0FB-8A71604A2FF9}

FILE ::
"c:\windows\system32\XDva093.sys"
"c:\windows\system32\XDva225.sys"
"c:\windows\system32\XDva269.sys"
"c:\windows\Tasks\Norton Security Scan.job"
"c:\windows\Tasks\Scheduled Update for Ask Toolbar.job"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MyToolbar.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Overview.ini
c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\AskToolbar
c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\AskToolbar\cache.dat
c:\programme\CA
c:\programme\CA\SharedComponents\CA_LIC\CALicnse.exe
c:\programme\CA\SharedComponents\CA_LIC\CAminfo.exe
c:\programme\CA\SharedComponents\CA_LIC\CAregit.exe
c:\programme\CA\SharedComponents\CA_LIC\countries.txt
c:\programme\CA\SharedComponents\CA_LIC\ErrBox.exe
c:\programme\CA\SharedComponents\CA_LIC\lic_comp_codes.dat
c:\programme\CA\SharedComponents\CA_LIC\lic98.cap
c:\programme\CA\SharedComponents\CA_LIC\lic98.dat
c:\programme\CA\SharedComponents\CA_LIC\lic98.dll
c:\programme\CA\SharedComponents\CA_LIC\lic98.err
c:\programme\CA\SharedComponents\CA_LIC\lic98log.exe
c:\programme\CA\SharedComponents\CA_LIC\Lic98Msg.dll
c:\programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
c:\programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
c:\programme\CA\SharedComponents\CA_LIC\LicenseITfield.cnt
c:\programme\CA\SharedComponents\CA_LIC\LICENSEITFIELD.HLP
c:\programme\CA\SharedComponents\CA_LIC\LicRCmd.exe
c:\programme\CA\SharedComponents\CA_LIC\licreg.dll
c:\programme\CA\SharedComponents\CA_LIC\licregres.dll
c:\programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
c:\programme\CA\SharedComponents\CA_LIC\mergeolf.exe
c:\programme\CA\SharedComponents\CA_LIC\prod_codes.txt
c:\programme\CA\SharedComponents\CA_LIC\silntreg.tmp
c:\programme\CA\SharedComponents\CA_LIC\states.txt
c:\programme\CA\SharedComponents\CA_LIC\vendor.dat
C:\rsit
c:\rsit\info.txt
c:\rsit\log.txt
d:\programme\Spybot - Search & Destroy
d:\programme\Spybot - Search & Destroy\SDHelper.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CPUZ130
-------\Legacy_EAGLENT
-------\Legacy_LOGWATCH
-------\Legacy_NPKCRYPT
-------\Legacy_XDVA093
-------\Legacy_XDVA225
-------\Legacy_XDVA269
-------\Service_CA_LIC_CLNT
-------\Service_CA_LIC_SRVR
-------\Service_cpuz130
-------\Service_EagleNT
-------\Service_LogWatch
-------\Service_npkcrypt
-------\Service_XDva093
-------\Service_XDva225
-------\Service_XDva269

((((((((((((((((((((((( Dateien erstellt von 2009-06-28 bis 2009-07-31 ))))))))))))))))))))))))))))))
.

2009-07-31 09:14 . 2009-07-31 09:14 -------- d-----w- c:\programme\Foxit Software
2009-07-31 09:14 . 2009-07-31 09:14 -------- d-----w- c:\dokumente und einstellungen\*******\Anwendungsdaten\Foxit
2009-07-31 09:11 . 2009-07-31 09:10 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-07-31 09:10 . 2009-07-31 09:10 152576 ----a-w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Sun\Java\jre1.6.0_14\lzma.dll
2009-07-31 09:03 . 2009-07-31 09:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-07-29 12:38 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-07-29 09:35 . 2009-07-29 09:35 -------- d-----w- c:\programme\Panda Security
2009-07-28 16:45 . 2009-07-28 16:45 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys
2009-07-28 16:45 . 2009-07-28 16:45 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys
2009-07-28 16:45 . 2009-07-28 16:45 -------- d-----w- c:\programme\Prevx
2009-07-28 16:45 . 2009-07-29 17:44 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-07-28 16:36 . 2009-07-30 13:47 -------- d--h--w- C:\$AVG8.VAULT$
2009-07-27 14:29 . 2009-07-27 14:29 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-07-24 21:36 . 2009-07-24 21:36 -------- d-sh--w- c:\dokumente und einstellungen\Gast\PrivacIE
2009-07-24 08:49 . 2009-07-24 08:49 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Malwarebytes
2009-07-24 08:49 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-24 08:49 . 2009-07-24 08:49 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-07-24 08:49 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-22 19:52 . 2009-07-22 19:52 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-07-19 18:40 . 2009-07-21 19:28 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\MessengerDiscovery 2
2009-07-19 10:31 . 2009-07-19 10:31 -------- d-----w- c:\programme\MessengerDiscovery 2
2009-07-18 18:56 . 2009-07-29 10:50 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\MessengerDiscovery 2
2009-07-17 18:52 . 2009-07-17 18:52 -------- d-----w- c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\AskToolbar
2009-07-10 09:50 . 2009-07-10 09:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Degener
2009-07-07 21:17 . 2009-07-07 21:17 -------- d-sh--w- c:\dokumente und einstellungen\***\IECompatCache
2009-07-06 19:40 . 2009-07-06 19:40 -------- d-----w- c:\dokumente und einstellungen\*****\Anwendungsdaten\Ebner
2009-07-06 19:40 . 2009-07-06 19:40 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Degener
2009-07-03 15:19 . 2009-07-03 17:36 25 ----a-w- c:\windows\popcinfot.dat
2009-07-03 15:19 . 2009-07-03 15:19 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PopCap Games

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-31 09:17 . 2008-02-02 18:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-07-31 09:10 . 2008-02-02 20:07 -------- d-----w- c:\programme\Java
2009-07-31 08:56 . 2008-05-17 10:52 -------- d-----w- c:\programme\Yahoo!
2009-07-30 20:20 . 2008-05-14 12:58 3692 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\wklnhst.dat
2009-07-28 17:47 . 2008-01-20 14:58 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-22 10:28 . 2008-01-20 17:04 63112 ----a-w- c:\dokumente und einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-21 19:27 . 2008-02-01 16:01 63112 ----a-w- c:\dokumente und einstellungen\******\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-20 15:10 . 2008-05-19 09:39 96 ---ha-w- c:\windows\system32\HsInfo.dat
2009-07-20 15:05 . 2008-02-02 18:44 -------- d-----w- c:\dokumente und einstellungen\******\Anwendungsdaten\skypePM
2009-07-11 12:33 . 2008-02-02 11:49 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\ICQ
2009-07-02 10:56 . 2008-02-19 19:20 7208 ----a-w- c:\dokumente und einstellungen\*******\Anwendungsdaten\wklnhst.dat
2009-07-01 12:55 . 2008-08-04 11:48 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-07-01 12:54 . 2009-07-01 12:54 -------- d-----w- c:\programme\Degener
2009-06-16 14:36 . 2004-08-04 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2004-08-04 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-03 19:09 . 2004-08-04 12:00 1296896 ----a-w- c:\windows\system32\quartz.dll
2009-05-13 05:02 . 2004-08-04 12:00 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-07 15:32 . 2004-08-04 12:00 348160 ----a-w- c:\windows\system32\localspl.dll
2002-07-26 16:02 . 2009-01-08 18:22 153088 ----a-w- c:\programme\UNWISE.EXE
2008-06-18 17:44 . 2008-06-18 17:44 56 --sh--r- c:\windows\system32\0918F08D96.sys
2006-05-03 10:06 . 2009-01-11 16:27 163328 --sh--r- c:\windows\system32\flvDX.dll
2008-06-19 09:23 . 2008-06-18 17:44 1890 --sha-w- c:\windows\system32\KGyGaAvL.sys
2007-02-21 11:47 . 2009-01-11 16:27 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 13:30 . 2009-01-11 16:27 216064 --sh--r- c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-07-27_19.43.02 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-07-31 09:29 . 2009-07-31 09:29 16384 c:\windows\temp\Perflib_Perfdata_5e0.dat
+ 2009-07-31 09:18 . 2009-07-31 09:18 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
- 2008-02-08 19:12 . 2009-07-27 14:58 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
+ 2009-07-18 03:21 . 2009-07-18 03:21 257440 c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
+ 2009-07-31 09:11 . 2009-07-31 09:10 148888 c:\windows\system32\javaws.exe
+ 2009-07-31 09:11 . 2009-07-31 09:10 144792 c:\windows\system32\javaw.exe
+ 2009-07-31 09:11 . 2009-07-31 09:10 144792 c:\windows\system32\java.exe
+ 2009-07-31 09:10 . 2009-07-31 09:10 536576 c:\windows\Installer\19bdfb.msi
+ 2009-07-31 09:17 . 2009-07-31 09:17 371272 c:\windows\Installer\{D103C4BA-F905-437A-8049-DB24763BBE36}\SkypeIcon.exe
+ 2009-07-18 03:21 . 2009-07-18 03:21 3883424 c:\windows\system32\Macromed\Flash\NPSWF32.dll
+ 2009-07-31 09:17 . 2009-07-31 09:17 1565696 c:\windows\Installer\19be01.msi
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-07-31 148888]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-06-29 88363]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sremcon.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\Steam\\SteamApps\\tsgt_malarkey\\half-life 2 deathmatch\\hl2.exe"=
"d:\\Programme\\Steam\\SteamApps\\tsgt_malarkey\\counter-strike source\\hl2.exe"=
"d:\\Programme\\Steam\\SteamApps\\tsgt_malarkey\\day of defeat source\\hl2.exe"=
"d:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
"d:\\Programme\\Microsoft Games\\Age of Empires III\\age3y.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"=
"d:\\Programme\\Steam\\Steam.exe"=
"d:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonEU\\NGM\\NGM.exe"=
"c:\\Programme\\ATI Technologies\\ATI.ACE\\CLI.exe"=
"c:\\Dokumente und Einstellungen\\*****\\Lokale Einstellungen\\Anwendungsdaten\\Dyyno Receiver\\DPPM.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\Java\\jre1.6.0_03\\launch4j-tmp\\JDownloader.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [29.07.2009 14:38 28544]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [28.07.2009 18:45 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [28.07.2009 18:45 27656]
R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [28.07.2009 18:45 4368952]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;d:\programme\MAGIX\Common\Database\bin\fbserver.exe [25.09.2008 13:54 1527900]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game07.zylom.com/activex/zylomgamesplayer.cab
FF - ProfilePath - c:\dokumente und einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\je1rj3xv.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - DAEMON Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonEU\NGM\npNxGameeu.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonUS\NGM\npNxGameUS.dll
FF - plugin: d:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-31 11:30
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(880)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3172)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-31 11:34 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-07-31 09:34
ComboFix2.txt 2009-07-27 19:48

Vor Suchlauf: 9 Verzeichnis(se), 84.125.147.136 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 84.263.116.800 Bytes frei

248 --- E O F --- 2009-07-17 10:53

john.doe · 31.07.2009, 15:59

1.) Deinstalliere:

Panda Active Scan
PrevxCSI

2.) Start => Ausführen => combofix /u => OK

3.) Falls du Nexon loswerden möchtest, dann entferne noch die beiden Plugins aus Firefox.

4.) http://www.trojaner-board.de/59299-a...eb-cureit.html

5.) http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3 der Anleitung)

6.) Installiere dir Avira und scanne mit folgenden Einstellungen und poste das Log => http://www.trojaner-board.de/54192-a...tellungen.html

ciao, andreas

nick · 31.07.2009, 16:51

welche Plugins und wie?
den nächsten log schick ich morgen früh...

john.doe · 31.07.2009, 16:58

Lösche den Ordner:

Code:

ATTFilter

c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonEU

ciao, andreas

nick · 02.08.2009, 17:45

äähm ich glaube ich habe bei DrWeb was falsch gemacht. im Bericht das ich gespeichert habe war nur das:

NMSMediaServer.dll;D:\Programme\Ahead\Nero MediaHome;Wahrscheinlich DLOADER.Trojan;;

Hab den sofort gelöscht und später den ordner auch manuell.
Kommt so spät weil ich in Letzter Zeit etwas beschäftigt war und dadurch den scann nie ganz zuende machen konnte.

pkt 5+6 werd ich versuchen morgen Früh oder zumindesten in den nächsten 3Tagen zu posten^^

john.doe · 02.08.2009, 17:46

OK. Der Fund von DrWeb wird wohl eine Falschmeldung gewesen sein, aber wenn du das Programm sowieso nicht brauchst, dann passt das schon.

Sollte noch etwas gefunden werden, dann immer erst bei www.virustotal.com auswerten lassen.

ciao, andreas

nick · 03.08.2009, 12:07

Als ich SUPERAntiSpyware von Virustotal auswerten ließ kam das:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.08.03 -
AhnLab-V3 5.0.0.2 2009.08.01 -
AntiVir 7.9.0.238 2009.08.03 -
Antiy-AVL 2.0.3.7 2009.08.03 -
Authentium 5.1.2.4 2009.08.02 -
Avast 4.8.1335.0 2009.08.02 -
AVG 8.5.0.406 2009.08.03 -
BitDefender 7.2 2009.08.03 -
CAT-QuickHeal 10.00 2009.08.03 -
ClamAV 0.94.1 2009.08.03 -
Comodo 1849 2009.08.03 -
DrWeb 5.0.0.12182 2009.08.03 -
eSafe 7.0.17.0 2009.07.30 -
eTrust-Vet 31.6.6655 2009.08.03 -
F-Prot 4.4.4.56 2009.08.02 -
F-Secure 8.0.14470.0 2009.08.03 -
Fortinet 3.120.0.0 2009.08.03 -
GData 19 2009.08.03 -
Ikarus T3.1.1.64.0 2009.08.03 -
Jiangmin 11.0.800 2009.08.03 -
K7AntiVirus 7.10.808 2009.08.01 -
Kaspersky 7.0.0.125 2009.08.03 -
McAfee 5696 2009.08.02 -
McAfee+Artemis 5696 2009.08.02 -
McAfee-GW-Edition 6.8.5 2009.08.03 -
Microsoft 1.4903 2009.08.03 -
NOD32 4300 2009.08.03 -
Norman 6.01.09 2009.07.31 -
nProtect 2009.1.8.0 2009.08.03 -
Panda 10.0.0.14 2009.08.02 -
PCTools 4.4.2.0 2009.08.02 -
Prevx 3.0 2009.08.03 -
Rising 21.41.02.00 2009.08.03 -
Sophos 4.44.0 2009.08.03 -
Sunbelt 3.2.1858.2 2009.08.03 -
Symantec 1.4.4.12 2009.08.03 -
TheHacker 6.3.4.3.375 2009.08.01 -
TrendMicro 8.950.0.1094 2009.08.03 -
VBA32 3.12.10.9 2009.08.03 -
ViRobot 2009.8.3.1865 2009.08.03 -
VirusBuster 4.6.5.0 2009.08.02 -
weitere Informationen
File size: 807 bytes
MD5...: 80d20a7a9d5c33f1fc51ba19f90a55e2
SHA1..: c153fa75ae07f0e6eda799280ae861a645cb6fe5
SHA256: a4a3a9bc8fdcdeb1d3f51017fe5213d1068689292462013b54a63e64a0d70a55
ssdeep: 12:hYXgc4teGrDV3W2MKATH00FnLKLOisscH/VA0ny5IfVA0nyI:hYT4EGr5mZtj
FnLKLvsscH/LbLv
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-

nick · 03.08.2009, 12:16

sry für doppelpost.

mit avira einen kompletten systemscan durchführen oder?

nick · 03.08.2009, 13:34

hier ist der Avira report

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 3. August 2009 13:41

Es wird nach 1439934 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : COMPUTER

Versionsinformationen:
BUILD.DAT : 9.0.0.403 17961 Bytes 03.06.2009 17:00:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 11.05.2009 08:14:44
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 19:33:26
ANTIVIR2.VDF : 7.1.4.0 2336768 Bytes 20.05.2009 11:16:38
ANTIVIR3.VDF : 7.1.4.37 382976 Bytes 29.05.2009 11:25:16
Engineversion : 8.2.0.180
AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 10:52:04
AESCRIPT.DLL : 8.1.2.0 389497 Bytes 27.05.2009 15:07:20
AESCN.DLL : 8.1.2.3 127347 Bytes 14.05.2009 10:02:01
AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 17:24:41
AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 15:07:20
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 19:01:56
AEHEUR.DLL : 8.1.0.129 1761655 Bytes 14.05.2009 10:02:01
AEHELP.DLL : 8.1.2.2 119158 Bytes 29.05.2009 12:22:32
AEGEN.DLL : 8.1.1.44 348532 Bytes 14.05.2009 10:02:01
AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 13:32:40
AECORE.DLL : 8.1.6.12 180599 Bytes 27.05.2009 15:07:20
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 3. August 2009 13:41

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '85804' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '28' Prozesse mit '28' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '50' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'

Ende des Suchlaufs: Montag, 3. August 2009 14:23
Benötigte Zeit: 42:08 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

9405 Verzeichnisse wurden überprüft
284525 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
284522 Dateien ohne Befall
1671 Archive wurden durchsucht
3 Warnungen
2 Hinweise
85804 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Blackdragon · 03.08.2009, 14:01

Hi,ich habe euer Thema nur flüchtig verfolgt.
Die Warrock.exe ,die als Virus erkannt wird, ist im Normalfall keiner. AVIRA schlägt sich mit Warrock auch die Signaturen tot. Nach jedem WR Update kommt es (oder so war es früher).
NEXON scheint zu Combat Arms zu gehören,ebenfalls ein Ego-Shooter

.
In wie weit ihr das schon besprochen habt ,weiß ich nicht,falls ihr das schon wusstet ,tut´s mir auch leid.

LG,
Black

john.doe · 03.08.2009, 16:11

Du sollst SUPERAntiSpyware nicht bei Virustotal auswerten sondern damit Scannen und das Log posten.

ciao, andreas

nick · 04.08.2009, 10:37

Sry. bin grade auch selber verwirrt was ichd a gemacht habe

. Das war nicht von SUPERAntiSpyware sondern von DrWEB glaub ich. Aber hier das Richtige.

@Blackdragon
Ich weiß. beide Spiele habe ich schon gelöscht , also besser wenn der die Überreste anzeigt

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 08/03/2009 at 12:37 PM

Application Version : 4.27.1000

Core Rules Database Version : 4033
Trace Rules Database Version: 1973

Scan type : Complete Scan
Total Scan Time : 01:15:10

Memory items scanned : 384
Memory threats detected : 0
Registry items scanned : 5550
Registry threats detected : 0
File items scanned : 135938
File threats detected : 3

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\******\Cookies\*******@atdmt[2].txt

Unclassified.Unknown Origin
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\LERNWERKSTATT 7\DATA\GWS\HäUFIGKEIT ALLE\DIE.TXT
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\ANWENDUNGSDATEN\LERNWERKSTATT 7\DATA\GWS\WöRTER MIT IE\DIE.TXT

IE funzt net und Viren vorhanden

Plagegeister aller Art und deren Bekämpfung: IE funzt net und Viren vorhanden