Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm

TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm


Plagegeister aller Art und deren Bekämpfung: TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 16.08.2009, 20:19   #1
KategorieBO
 
TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm - Standard

TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm


Hallo,

vorerst...Ich habe in diesem Forum schon Lösungswege für mein Problem gefunden nur leider haben sie bei mir irgendwie nichts gebracht deswegen eröffne ich dieses Thema.

Beim Surfen neuerdings hab ich mir anscheinend irgendeinen Virus eingefangen...auf jeden Fall taucht dieser ständig auf und fährt hin und wieder meinen PC runter. Hab Avira Antivir drauf, aber das hilft mir irgendwie auch nicht weiter...es kommen pro minute an die 50 virusmeldungen und egal ob ich Lösche oder den Zugriff verweigere....es bringt mir nichts-.-. Ausserdem kommt unten in der Taskleiste immer ein nettes rotes Symbol wo immer auf Englisch steht dass mein Rechner mit spyware infiziert ist und sie mir raten würden spezielle antispy-software zu benutzen um datenverlust zu vermeiden. Antivir gibt mir immer diese 2 namen gleichzeiteg:

TR/Rootkit.Gen
und
TR/Dldr.FraudLo.sxm

Habe mich ein wenig durch das Forum gelesen und Malwarebytes Antimalware installiert...gescannt und versucht zu löschen nur hat es mir leider nichts gebracht

Hier ein Bericht von Antimalware:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2551
Windows 5.1.2600 Service Pack 3

16.08.2009 18:56:19
mbam-log-2009-08-16 (18-56-19).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 111101
Laufzeit: 9 minute(s), 50 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 16
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 6
Infizierte Dateien: 37

Infizierte Speicherprozesse:
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\Programme\MyGlobalSearch\bar\2.bin\MGSBAR.DLL (Adware.MyWebSearch) -> Delete on reboot.
C:\Programme\MyGlobalSearch\bar\2.bin\M9PLUGIN.DLL (Adware.MyWebSearch) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\myglobalsearchbar.settingsplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{37b85a20-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{37b85a2a-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{37b85a2c-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{014da6c9-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{37b85a21-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a21-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{37b85a2b-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{37b85a2b-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ef281620-a3a3-4f08-874f-d68cfc9b7945} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\myglobalsearchbar.settingsplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\myglobalsearchbar.toolbarplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\myglobalsearchbar.toolbarplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch (Adware.BookedSpace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\MyGlobalSearch (Adware.MyWebSearch) -> Delete on reboot.
C:\Programme\MyGlobalSearch\bar (Adware.MyWebSearch) -> Delete on reboot.
C:\Programme\MyGlobalSearch\bar\2.bin (Adware.MyWebSearch) -> Delete on reboot.
C:\Programme\MyGlobalSearch\bar\Cache (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\History (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\Settings (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\MyGlobalSearch\bar\2.bin\MGSBAR.DLL (Adware.MyWebSearch) -> Delete on reboot.
C:\WINDOWS\cru629.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cru629.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\2.bin\M9FFXTBR.JAR (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\2.bin\M9FFXTBR.MANIFEST (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\2.bin\M9NTSTBR.JAR (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\2.bin\M9NTSTBR.MANIFEST (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\2.bin\M9PLUGIN.DLL (Adware.MyWebSearch) -> Delete on reboot.
C:\Programme\MyGlobalSearch\bar\2.bin\NPMYGLSH.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\Cache\0005A262 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\Cache\006A64B1.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\Cache\006A681C.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\Cache\006A6A6E.bin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\Cache\files.ini (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\History\search (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\Settings\prevcfg.htm (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\Settings\settings.dat (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\Programme\MyGlobalSearch\bar\Settings\settings.htm (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN1.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Kotzi\Lokale Einstellungen\Temp\BN2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Kotzi\Lokale Einstellungen\Temp\BN4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN5.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN6.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Kotzi\Lokale Einstellungen\Temp\BN6.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN7.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Kotzi\Lokale Einstellungen\Temp\BN7.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN8.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN9.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\wpv681250109698.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.sys) -> Quarantined and deleted successfully.
C:\WINDOWS\braviax.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Kotzi\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> Quarantined and deleted successfully.

Habe Anit-malware weitere male drüberlaufen lassen hier der letzte Bericht:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2551
Windows 5.1.2600 Service Pack 3

16.08.2009 19:41:10
mbam-log-2009-08-16 (19-41-10).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 110985
Laufzeit: 5 minute(s), 7 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Temp\BN1.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> Quarantined and deleted successfully.


Leider hat es mir nichts gebracht da beim Neustart sofort wieder die Virenmeldungen kamen...lediglich das rote Kästchen in der Taskleiste ist momentan Verschwunden. Zwischendrin hat sich meine Windows-Firewall selbst ausgeschaltet ich musste sie immer wieder neu aktivieren.

Vorher habe ich mir HijackThis runtergeladen und hier ist ein log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:14:39, on 16.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Kotzi\HAMAS1~1\S1_2k.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\braviax.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com/fsc/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [La_View Mouse] C:\PROGRA~1\Kotzi\HAMAS1~1\S1_2k.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.09\AMVConverter\grab.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.09\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: cru629.dat
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Das letzte was ich versucht habe war mir den Navipromo-entferner Navilog 1 herunterzuladen und drüberlaufen zu lassen. Dieser hat jedoch keinen Navipromobefall gefunden.

Da ich nicht viel Ahung von Pcs habe und mich dieser Befall sehr stört würde ich euch um Hilfe bitten...schonmal danke im Vorraus

Alt 16.08.2009, 20:50   #2
raman
 
TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm - Standard

TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm


Aktualisiere bitte Malwarebytes, das ist hoffnungslos veraltet. Mache einen neuen scan, lase alles bereinigen und poste den neuen Report...
Achso, bitte auch ein GMER Report erstellen, aktualisiere Antivir und lasse es den Ordner c:\windows untersuchen. Alle Funde bitte in Quarantaene schieben...
__________________

__________________
Alt 16.08.2009, 21:39   #3
OjeOje...
 
TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm - Unglücklich

TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm


Habe genau das gleiche Problem...


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:28:05, on 16.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\AOL\1189258740\ee\AOLSoftware.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\Programme\HP\HP UT\bin\hppusg.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Registry Mechanic\RegMech.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\FinePixViewerS\QuickDCF2.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Alice\signup\AliceCnn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\braviax.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\B...\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SXWS68LX\HiJackThis[1].exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1189258740\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HPPQVideo] "C:\Programme\HP\ScheduledLaunch\HP Color LaserJet CP1510 Series\bin\hppschlnch.exe" -r SOFTWARE\Hewlett-Packard\ScheduledLaunch\CLJ_CP1510_Series -f PQOptimizerVideo.xml -o remindLater
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enumn /alertsn /notificationsn /fln /frn /appDatan
O4 - HKLM\..\Run: [HPUsageTracking] "C:\Programme\HP\HP UT\bin\hppusg.exe" "C:\Programme\HP\HP UT\"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RegistryMechanic] C:\Programme\Registry Mechanic\RegMech.exe /H
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Exif Launcher S.lnk = C:\Programme\FinePixViewerS\QuickDCF2.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1006.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://wp-ra-usa.webex.com/client/T26L/webex/ieatgpc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{509D56D8-6F56-42AA-BEBA-21BE8A479742}: NameServer = 0.0.0.0
O17 - HKLM\System\CCS\Services\Tcpip\..\{55D34D39-C1EC-46B5-ACCB-0EBE4C8D9856}: NameServer = 62.109.123.6 213.191.92.87
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 9783 bytes

,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2635
Windows 5.1.2600 Service Pack 3

16.08.2009 21:55:52
mbam-log-2009-08-16 (21-55-52).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 242264
Laufzeit: 1 hour(s), 0 minute(s), 24 second(s)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> Unloaded process successfully.
C:\Dokumente und Einstellungen\B...\msword98.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\msword98.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msword98 (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msword98 (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\B...\msword98.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msword98.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\B...\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\B...\Desktop\Metro.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN1F.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\B...\Lokale Einstellungen\Temp\BN1E.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\B...\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\B...\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\B...\Startmenü\Programme\Autostart\ikowin32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.



Besteht da noch Hoffnung?
__________________
Geändert von OjeOje... (16.08.2009 um 21:48 Uhr)

Alt 16.08.2009, 21:42   #4
handball10
/// Helfer-Team
 
TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm - Standard

TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm


Hallo OjeOje,

bitte eröffne für dein Problem ein eigenes Thema.

Gruß
Handball10

Alt 16.08.2009, 22:21   #5
KategorieBO
 
TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm - Standard

TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm


So, habe die Anti-Malware aktualisiert, scannen und säubern lassen, hat aber nichts gebracht. Nach dem Neustart kamen wieder endlos viele Vierenmeldungen und die Firewall war deaktiviert.


Danach habe ich Antivir aktualisiert und C:/windows scannen lassen.

Zuletzt habe ich mir GMER heruntergeladen und scannen lassen.

Die reports befinden sich im Anhang.


Alt 17.08.2009, 01:12   #6
rdmski
 
TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm - Standard

TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm


Ich habe seit heute dassselbe Problem.
Antimalware hat zwar einiges gelöscht und seitdem kommen keine Meldungen mehr von Avira aber ich bekomme meine Windows Firewall nicht mehr gestartet.
Weiss jemand wie ich die Firewall wieder zum laufen kriege ?

Alt 17.08.2009, 04:57   #7
raman
 
TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm - Standard

TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm


Hallo KategorieBO,

nutze bitte Combofix:

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.
__________________
MfG Ralf

Alt 17.08.2009, 10:29   #8
KategorieBO
 
TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm - Standard

TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm


So, habe Combofix installiert und ausgeführt. Hier der Bericht:

ComboFix 09-08-10.06 - Kotzi 17.08.2009 11:16.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1236 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Kotzi\Desktop\Test.exe.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.
ADS - WINDOWS: deleted 72 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\programme\Mozilla Firefox\plugins\NPMyGlSh.dll
c:\recycler\S-1-5-21-1614813570-2028203107-1121898855-500
c:\windows\kb913800.exe
c:\windows\system32\_000007_.tmp.dll
c:\windows\system32\braviax.exe


.
((((((((((((((((((((((( Dateien erstellt von 2009-07-17 bis 2009-08-17 ))))))))))))))))))))))))))))))
.

2009-08-16 18:55 . 2009-08-16 19:04 -------- d-----w- c:\programme\Navilog1
2009-08-16 18:42 . 2009-08-16 18:42 -------- d-----w- c:\programme\Trend Micro
2009-08-16 16:45 . 2009-08-16 16:45 -------- d-----w- c:\dokumente und einstellungen\Kotzi\Anwendungsdaten\Malwarebytes
2009-08-16 16:45 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-16 16:45 . 2009-08-16 16:45 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-16 16:45 . 2009-08-16 16:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-16 16:45 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-14 22:38 . 2009-08-14 22:38 -------- d-----w- c:\windows\system32\XPSViewer
2009-08-14 22:38 . 2009-08-14 22:38 -------- d-----w- c:\programme\MSBuild
2009-08-14 22:38 . 2009-08-14 22:38 -------- d-----w- c:\programme\Reference Assemblies
2009-08-14 22:38 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-08-14 22:38 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-08-14 22:38 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-08-14 22:38 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-08-14 22:38 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-08-14 22:38 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-08-14 22:38 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-08-14 08:51 . 2009-08-14 08:51 -------- d-----w- c:\windows\system32\wbem\Repository
2009-08-14 08:46 . 2009-08-14 08:50 619584 -c--a-w- c:\windows\system32\dllcache\ntfs.sys
2009-08-13 05:36 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
2009-07-18 14:05 . 2009-07-18 14:05 -------- d-----w- c:\programme\SkinBuilder
2009-07-18 11:50 . 2009-07-18 11:50 -------- d-----w- c:\programme\ICQ6Toolbar
2009-07-18 11:50 . 2009-07-18 11:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-07-18 11:48 . 2009-07-18 12:02 -------- d-----w- c:\programme\ICQ6.5

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-16 19:36 . 2007-03-03 18:23 -------- d-----w- c:\programme\Winamp
2009-08-15 22:28 . 2007-01-07 12:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-08-15 22:28 . 2006-09-30 07:37 50600 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-14 22:40 . 2006-09-30 08:23 85350 ----a-w- c:\windows\system32\perfc007.dat
2009-08-14 22:40 . 2006-09-30 08:23 460608 ----a-w- c:\windows\system32\perfh007.dat
2009-08-14 08:50 . 2006-09-30 08:23 619584 ----a-w- c:\windows\system32\drivers\ntfs.sys
2009-08-11 13:31 . 2009-01-29 09:20 777 -c--a-w- c:\windows\eReg.dat
2009-08-10 17:21 . 2007-01-11 12:08 -------- d-----w- c:\dokumente und einstellungen\Kotzi\Anwendungsdaten\teamspeak2
2009-08-10 14:41 . 2007-02-10 16:23 -------- d-----w- c:\dokumente und einstellungen\Kotzi\Anwendungsdaten\Skype
2009-08-10 14:29 . 2009-05-19 15:40 -------- d-----w- c:\dokumente und einstellungen\Kotzi\Anwendungsdaten\skypePM
2009-08-05 08:59 . 2006-09-30 08:23 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-26 09:17 . 2006-11-04 23:24 440 ----a-w- c:\dokumente und einstellungen\Gregor\Anwendungsdaten\wklnhst.dat
2009-07-18 11:49 . 2008-05-06 15:26 -------- d-----w- c:\programme\ICQ6
2009-07-17 19:01 . 2009-07-17 19:01 58880 ----a-w- c:\windows\system32\SET21.tmp
2009-07-17 19:01 . 2006-09-30 08:23 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-17 19:01 . 2006-09-30 08:23 58880 ----a-w- c:\windows\system32\atl(2).dll
2009-07-13 21:43 . 2006-09-30 08:23 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-10 13:13 . 2008-01-31 22:51 -------- d-----w- c:\programme\ScanWizard 5
2009-07-07 21:09 . 2006-11-29 22:05 -------- d-----w- c:\programme\EPSON
2009-07-07 21:08 . 2006-09-30 07:33 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-06-26 16:49 . 2006-09-30 08:23 672256 ----a-w- c:\windows\system32\wininet.dll
2009-06-26 16:49 . 2006-09-30 08:23 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-06-16 14:36 . 2006-09-30 08:23 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2006-09-30 08:23 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 10:43 . 2006-09-30 08:23 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 10:43 . 2006-09-30 08:23 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:13 . 2006-09-30 08:23 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2006-09-30 06:33 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2006-09-30 08:23 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2006-09-30 08:23 1296896 ------w- c:\windows\system32\quartz.dll
2009-05-27 18:22 . 2007-04-22 11:51 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-25 14:05 . 2008-02-12 17:15 138168 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-05-25 14:05 . 2008-02-12 17:15 189472 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-05-19 15:40 . 2009-05-19 15:40 56 ---ha-w- c:\windows\system32\ezsidmv.dat
.

------- Sigcheck -------


[-] 2007-02-09 11:23 574976 05AB81909514BFD69CBB1F2C147CF6B9 c:\windows\$hf_mig$\KB930916\SP2QFE\ntfs.sys
[-] 2007-02-09 11:10 574464 19A811EF5F1ED5C926A028CE107FF1AF c:\windows\$NtServicePackUninstall$\ntfs.sys
[-] 2004-08-10 12:00 574592 B78BE402C3F63DD55521F73876951CDD c:\windows\$NtUninstallKB930916$\ntfs.sys
[-] 2004-08-10 12:00 574592 B78BE402C3F63DD55521F73876951CDD c:\windows\I386\NTFS.SYS
[7] 2008-04-13 19:15 574976 78A08DD6A8D65E697C18E1DB01C5CDCA c:\windows\ServicePackFiles\i386\ntfs.sys
[-] 2009-08-14 08:50 619584 4DFB45D14330ACE7FD32EE8DBCF50C97 c:\windows\system32\dllcache\ntfs.sys
[-] 2009-08-14 08:50 619584 4DFB45D14330ACE7FD32EE8DBCF50C97 c:\windows\system32\drivers\ntfs.sys

c:\windows\system32\drivers\beep.sys ... Fehlt !!
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"La_View Mouse"="c:\progra~1\Kotzi\HAMAS1~1\S1_2k.exe" [2005-07-26 2871296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"MULTIMEDIA KEYBOARD"="c:\programme\Netropa\Multimedia Keyboard\MMKeybd.exe" [2003-09-30 425984]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-07-16 61440]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2007-10-19 286720]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2007-04-11 56080]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Picasa Media Detector"="m:\picasa2\PicasaMediaDetector.exe" [2007-10-23 443968]

c:\dokumente und einstellungen\Gregor\Startmen\Programme\Autostart\
Picture Motion Browser Medien-Prfung.lnk - m:\pmbcore\SPUVolumeWatcher.exe [2009-1-25 385024]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
AOL 9.0 Tray-Symbol.lnk - c:\programme\AOL 9.0\aoltray.exe [2006-10-9 156784]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2007-12-30 692224]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\AOL 9.0\\waol.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"n:\\Company of Heroes\\RelicCOH.exe"=
"n:\\Company of Heroes\\BugReport\\BugReport.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\BearShare\\BearShare.exe"=
"c:\\Programme\\Xfire\\xfire.exe"=
"c:\\Programme\\Foolish Entertainment\\ATC for Battlefield 2\\atcbf2.exe"=
"c:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"c:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"=
"n:\\Steam\\SteamApps\\don_kroki\\counter-strike source\\hl2.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.6\\cnc3game.dat"=
"n:\\Stalker\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"n:\\Stalker\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 msikbd2k;Multimedia Keyboard Filter Driver;c:\windows\system32\drivers\Msikbd2k.sys [08.04.2007 17:47 6656]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [18.07.2009 13:50 222968]
R2 nhksrv;Netropa NHK Server;c:\programme\Netropa\Multimedia Keyboard\nhksrv.exe [08.04.2007 17:47 28672]
R3 3xHybrid;Pinnacle PCTV 100i-110i-300i-310i;c:\windows\system32\drivers\3xHybrid.sys [30.09.2006 10:27 882688]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [29.11.2006 21:14 264704]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [30.09.2006 09:25 7040]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [30.09.2006 09:28 1527900]
S3 imhidusb;Immersion's HID USB Driver;c:\windows\system32\drivers\imhidusb.sys [30.10.2006 12:43 26804]
S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);c:\windows\system32\drivers\sea1bus.sys [29.11.2007 19:09 61536]
S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;c:\windows\system32\drivers\sea1mdfl.sys [29.11.2007 19:17 9360]
S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;c:\windows\system32\drivers\sea1mdm.sys [29.11.2007 19:17 97088]
S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\sea1mgmt.sys [29.11.2007 19:40 88624]
S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);c:\windows\system32\drivers\sea1nd5.sys [29.11.2007 19:48 18704]
S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;c:\windows\system32\drivers\sea1obex.sys [29.11.2007 19:40 86432]
S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);c:\windows\system32\drivers\sea1unic.sys [29.11.2007 19:40 90800]
.
Inhalt des "geplante Tasks" Ordners

2009-07-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-PcSync - c:\programme\Nokia\Nokia PC Suite 6\PcSync2.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*hxxp://w*w.yahoo.com
IE: Add to AMV Converter... - c:\programme\MP3 Player Utilities 4.09\AMVConverter\grab.html
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: MediaManager tool grab multimedia file - c:\programme\MP3 Player Utilities 4.09\MediaManager\grab.html
FF - ProfilePath - c:\dokumente und einstellungen\Kotzi\Anwendungsdaten\Mozilla\Firefox\Profiles\dti3e8w2.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.lokalisten.de/web/showHome.do
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJPI150_10.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPOJI610.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://w*w.gmer.net
Rootkit scan 2009-08-17 11:21
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-67824176-1372446298-3875667211-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\

[HKEY_USERS\S-1-5-21-67824176-1372446298-3875667211-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:e5,84,94,b0,74,b9,0a,86,1f,cd,5a,10,f1,5d,5c,35,64,31,6d,53,95,7b,54,
19,7f,a5,1d,4f,fc,f4,a5,f8,99,e1,60,ba,47,31,6e,c4,9d,6a,f7,d7,6c,bd,18,74,\
"??"=hex:51,26,68,11,bc,f8,f9,83,2f,7f,08,b5,c7,73,36,4c

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,94,9e,97,7d,f1,
83,b8,42,e2,63,26,f1,3f,c8,ff,68,41,78,54,6b,cb,25,73,5e,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:71,3b,04,66,8b,46,0d,96,01,21,d9,f5,83,
d3,c9,b7,6a,9c,d6,61,af,45,84,18,38,bb,d5,45,c2,68,70,5c,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,6a,8f,ee,6c,90,
39,34,ef,ff,7c,85,e0,43,d4,0e,fe,e7,38,ef,42,95,63,97,c3,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,49,68,bf,0f,24,
6d,72,41,86,8c,21,01,be,91,eb,e7,ba,33,a5,03,1a,41,48,16,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:e9,02,6c,fa,fb,1d,47,57,1d,9c,e7,7f,67,
bb,32,a7,f5,1d,4d,73,a8,13,5c,05,1d,83,69,e8,ac,fb,66,38,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:50,93,e5,ab,ec,6a,4e,ab,94,be,2e,02,34,
d8,79,45,df,20,58,62,78,6b,cf,c8,4e,9e,52,48,ec,c0,a7,1c,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6,12,2f,9a,ea,3d,05,72,76,72,
3d,96,50,fb,a7,78,e6,12,2f,9a,ea,e2,c6,0d,83,3a,45,f8,77,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,92,65,20,e0,37,
15,19,2c,01,3a,48,fc,e8,04,4a,f1,82,29,83,2f,7d,40,7b,d2,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,a7,a1,68,5f,4c,
f9,8f,fe,f6,0f,4e,58,98,5b,89,c9,25,df,65,00,2e,63,32,b1,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,91,17,04,e4,56,
7d,ff,cc,3d,ce,ea,26,2d,45,aa,78,37,32,9f,41,5c,1f,78,77,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,68,d3,57,35,15,
4f,66,c8,2a,b7,cc,b5,b9,7f,41,e7,8b,2c,6d,d9,31,77,a6,50,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,5f,a3,4a,3d,49,
72,6e,6e,6c,43,2d,1e,aa,22,2f,9c,92,e1,1e,0f,d6,06,73,36,6c,43,2d,1e,aa,22,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(712)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-08-17 11:23
ComboFix-quarantined-files.txt 2009-08-17 09:23

Vor Suchlauf: 1.857.327.104 Bytes frei
Nach Suchlauf: 1.993.920.512 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect /usepmtimer

292 --- E O F --- 2009-08-15 22:48

Edit: Nach dem Neustart kamen immernoch Vierenmeldungen und wie immer war die Firewall down
Geändert von KategorieBO (17.08.2009 um 10:42 Uhr)

Alt 17.08.2009, 11:03   #9
raman
 
TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm - Standard

TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm


Ja das kann ich mir denken. c:\windows\system32\drivers\ntfs.sys ist infiziert, eine andere (mehr oder minder wichtige) Systemdatei fehlt usw....

Wie bei jeder neuen Malware ist auch hier davon auszugehen, das alle Passworte und aehnliches geklaut wurde...

Frage ist, willst du neu aufsetzen oder sollen wir versuchen das ganze zu "ersetzen"?
__________________
MfG Ralf

Alt 17.08.2009, 11:11   #10
KategorieBO
 
TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm - Standard

TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm


Neu aufsetzen würde ich nur ungern. Ich würde lieber versuchen es zu "ersetzen" soweit das möglich ist

Alt 17.08.2009, 11:28   #11
raman
 
TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm - Standard

TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm


Poste bitte einen aktuellen Report von Antivir, indem alle Funde aufgelistet sind.
__________________
MfG Ralf

Alt 17.08.2009, 12:49   #12
KategorieBO
 
TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm - Standard

TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm


So habe Antivir gerade scannen lassen und hier ist der Bericht:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 17. August 2009 12:31

Es wird nach 1639416 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir Personal - FREE Antivirus
Seriennummer: 0000149996-ADJIE-0000001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ******

Versionsinformationen:
BUILD.DAT : 8.2.0.353 17048 Bytes 15.05.2009 12:02:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 17:16:55
AVSCAN.DLL : 8.1.4.0 48897 Bytes 18.07.2008 08:33:08
LUKE.DLL : 8.1.4.5 164097 Bytes 18.07.2008 08:33:08
LUKERES.DLL : 8.1.4.0 12545 Bytes 18.07.2008 08:33:08
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 22:47:56
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 21:24:13
ANTIVIR2.VDF : 7.1.5.88 2668032 Bytes 10.08.2009 07:56:18
ANTIVIR3.VDF : 7.1.5.117 290304 Bytes 14.08.2009 22:28:56
Engineversion : 8.2.1.1
AEVDF.DLL : 8.1.1.1 106868 Bytes 01.05.2009 08:15:59
AESCRIPT.DLL : 8.1.2.25 459130 Bytes 15.08.2009 22:28:57
AESCN.DLL : 8.1.2.4 127348 Bytes 25.07.2009 19:06:26
AERDL.DLL : 8.1.2.4 430452 Bytes 14.07.2009 20:40:25
AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 18:22:36
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17.06.2009 18:53:05
AEHEUR.DLL : 8.1.0.154 1917302 Bytes 07.08.2009 16:52:15
AEHELP.DLL : 8.1.5.3 233846 Bytes 25.07.2009 19:06:25
AEGEN.DLL : 8.1.1.56 356725 Bytes 12.08.2009 07:56:31
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 15:56:42
AECORE.DLL : 8.1.7.6 184694 Bytes 25.07.2009 19:06:23
AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 15:56:40
AVWINLL.DLL : 1.0.0.12 15105 Bytes 18.07.2008 08:33:08
AVPREF.DLL : 8.0.2.0 38657 Bytes 18.07.2008 08:33:08
AVREP.DLL : 8.0.0.3 155688 Bytes 20.04.2009 22:05:41
AVREG.DLL : 8.0.0.1 33537 Bytes 18.07.2008 08:33:08
AVARKT.DLL : 1.0.0.23 307457 Bytes 15.04.2008 19:32:22
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 18.07.2008 08:33:08
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15.04.2008 19:32:23
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 18.07.2008 08:33:08
NETNT.DLL : 8.0.0.1 7937 Bytes 15.04.2008 19:32:23
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 18.07.2008 08:33:04
RCTEXT.DLL : 8.0.52.0 86273 Bytes 18.07.2008 08:33:04

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, K:, L:, M:, N:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 17. August 2009 12:31

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'braviax.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winamp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'osd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Traymon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aoltray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S1_2k.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MMKeybd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FRITZWLanMini.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcrdsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'X10nets.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CDAC11BA.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nhksrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '48' Prozesse mit '48' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'K:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'L:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'M:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'N:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '75' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <463574>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Kotzi\Desktop\Der Überordner\Mediaprogs\boehseonkelz.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aee3473.qua' verschoben!
C:\System Volume Information\_restore{7B1702F9-A2D1-426F-BC30-E1A0071026B3}\RP500\A0126872.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aba3ca1.qua' verschoben!
Beginne mit der Suche in 'K:\' <BACKUP>
Beginne mit der Suche in 'L:\' <DATEN>
Beginne mit der Suche in 'M:\' <MULTIMEDIA>
Beginne mit der Suche in 'N:\' <SPIELE>


Ende des Suchlaufs: Montag, 17. August 2009 13:36
Benötigte Zeit: 1:05:11 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

14016 Verzeichnisse wurden überprüft
518616 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
518612 Dateien ohne Befall
14883 Archive wurden durchsucht
7 Warnungen
2 Hinweise

Alt 17.08.2009, 13:27   #13
raman
 
TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm - Standard

TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm


Hast du diese Datei schon laenger gehabt, oder kann das der Ausloeser fuer die infektion gewesen sein? boehseonkelz.exe

Mache bitte folgendes:

1. Starte Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.
Code:
ATTFilter
FCopy:: 
c:\windows\ServicePackFiles\i386\ntfs.sys | c:\windows\system32\drivers\ntfs.sys
c:\windows\ServicePackFiles\i386\ntfs.sys | c:\windows\system32\dllcache\ntfs.sys
SRPeek::
c:\windows\system32\drivers\beep.sys
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Folge den dort angegebenen Anweisungen.

Poste den neu erstellten Combofix Report

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________________
MfG Ralf

Alt 17.08.2009, 14:22   #14
KategorieBO
 
TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm - Standard

TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm


So,boehseonkelz.exe ist meines Wissens nach schon eine lange Zeit drauf.

Hab alles so wie beschrieben gemacht. Am ende ist jedoch kein Popup erschienen.

Hier der Bericht:

ComboFix 09-08-10.06 - Kotzi 17.08.2009 15:06.2.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1386 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Kotzi\Desktop\Test.exe.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Kotzi\Desktop\CFScript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\windows\system32\braviax.exe
c:\windows\system32\wisdstr.exe

.
--------------- FCopy ---------------

c:\windows\ServicePackFiles\i386\ntfs.sys --> c:\windows\system32\drivers\ntfs.sys
c:\windows\ServicePackFiles\i386\ntfs.sys --> c:\windows\system32\dllcache\ntfs.sys
.
((((((((((((((((((((((( Dateien erstellt von 2009-07-17 bis 2009-08-17 ))))))))))))))))))))))))))))))
.

2009-08-16 18:55 . 2009-08-16 19:04 -------- d-----w- c:\programme\Navilog1
2009-08-16 18:42 . 2009-08-16 18:42 -------- d-----w- c:\programme\Trend Micro
2009-08-16 16:45 . 2009-08-16 16:45 -------- d-----w- c:\dokumente und einstellungen\Kotzi\Anwendungsdaten\Malwarebytes
2009-08-16 16:45 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-16 16:45 . 2009-08-16 16:45 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-16 16:45 . 2009-08-16 16:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-16 16:45 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-14 22:38 . 2009-08-14 22:38 -------- d-----w- c:\windows\system32\XPSViewer
2009-08-14 22:38 . 2009-08-14 22:38 -------- d-----w- c:\programme\MSBuild
2009-08-14 22:38 . 2009-08-14 22:38 -------- d-----w- c:\programme\Reference Assemblies
2009-08-14 22:38 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-08-14 22:38 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-08-14 22:38 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-08-14 22:38 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-08-14 22:38 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-08-14 22:38 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-08-14 22:38 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-08-14 08:51 . 2009-08-14 08:51 -------- d-----w- c:\windows\system32\wbem\Repository
2009-08-14 08:46 . 2008-04-13 19:15 574976 -c--a-w- c:\windows\system32\dllcache\ntfs.sys
2009-08-13 05:36 . 2009-07-10 13:26 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-05 08:59 . 2009-08-05 08:59 206336 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
2009-07-18 14:05 . 2009-07-18 14:05 -------- d-----w- c:\programme\SkinBuilder

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-16 19:36 . 2007-03-03 18:23 -------- d-----w- c:\programme\Winamp
2009-08-15 22:28 . 2007-01-07 12:27 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-08-15 22:28 . 2006-09-30 07:37 50600 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-14 22:40 . 2006-09-30 08:23 85350 ----a-w- c:\windows\system32\perfc007.dat
2009-08-14 22:40 . 2006-09-30 08:23 460608 ----a-w- c:\windows\system32\perfh007.dat
2009-08-11 13:31 . 2009-01-29 09:20 777 -c--a-w- c:\windows\eReg.dat
2009-08-10 17:21 . 2007-01-11 12:08 -------- d-----w- c:\dokumente und einstellungen\Kotzi\Anwendungsdaten\teamspeak2
2009-08-10 14:41 . 2007-02-10 16:23 -------- d-----w- c:\dokumente und einstellungen\Kotzi\Anwendungsdaten\Skype
2009-08-10 14:29 . 2009-05-19 15:40 -------- d-----w- c:\dokumente und einstellungen\Kotzi\Anwendungsdaten\skypePM
2009-08-05 08:59 . 2006-09-30 08:23 206336 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-26 09:17 . 2006-11-04 23:24 440 ----a-w- c:\dokumente und einstellungen\Gregor\Anwendungsdaten\wklnhst.dat
2009-07-18 12:02 . 2009-07-18 11:48 -------- d-----w- c:\programme\ICQ6.5
2009-07-18 11:50 . 2009-07-18 11:50 -------- d-----w- c:\programme\ICQ6Toolbar
2009-07-18 11:50 . 2009-07-18 11:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-07-18 11:49 . 2008-05-06 15:26 -------- d-----w- c:\programme\ICQ6
2009-07-17 19:01 . 2009-07-17 19:01 58880 ----a-w- c:\windows\system32\SET21.tmp
2009-07-17 19:01 . 2006-09-30 08:23 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-17 19:01 . 2006-09-30 08:23 58880 ----a-w- c:\windows\system32\atl(2).dll
2009-07-13 21:43 . 2006-09-30 08:23 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-10 13:13 . 2008-01-31 22:51 -------- d-----w- c:\programme\ScanWizard 5
2009-07-07 21:09 . 2006-11-29 22:05 -------- d-----w- c:\programme\EPSON
2009-07-07 21:08 . 2006-09-30 07:33 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-06-26 16:49 . 2006-09-30 08:23 672256 ----a-w- c:\windows\system32\wininet.dll
2009-06-26 16:49 . 2006-09-30 08:23 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-06-16 14:36 . 2006-09-30 08:23 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:36 . 2006-09-30 08:23 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-15 10:43 . 2006-09-30 08:23 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 10:43 . 2006-09-30 08:23 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:13 . 2006-09-30 08:23 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2006-09-30 06:33 2066432 ----a-w- c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2006-09-30 08:23 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2006-09-30 08:23 1296896 ------w- c:\windows\system32\quartz.dll
2009-05-27 18:22 . 2007-04-22 11:51 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-05-25 14:05 . 2008-02-12 17:15 138168 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-05-25 14:05 . 2008-02-12 17:15 189472 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-05-19 15:40 . 2009-05-19 15:40 56 ---ha-w- c:\windows\system32\ezsidmv.dat
.

(((((((((((((((((((((((((((((((((((((((((( SR_Search ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"La_View Mouse"="c:\progra~1\Kotzi\HAMAS1~1\S1_2k.exe" [2005-07-26 2871296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"MULTIMEDIA KEYBOARD"="c:\programme\Netropa\Multimedia Keyboard\MMKeybd.exe" [2003-09-30 425984]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-07-16 61440]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2007-10-19 286720]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2007-04-11 56080]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Picasa Media Detector"="m:\picasa2\PicasaMediaDetector.exe" [2007-10-23 443968]

c:\dokumente und einstellungen\Gregor\Startmen\Programme\Autostart\
Picture Motion Browser Medien-Prfung.lnk - m:\pmbcore\SPUVolumeWatcher.exe [2009-1-25 385024]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
AOL 9.0 Tray-Symbol.lnk - c:\programme\AOL 9.0\aoltray.exe [2006-10-9 156784]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2007-12-30 692224]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\AOL 9.0\\waol.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"n:\\Company of Heroes\\RelicCOH.exe"=
"n:\\Company of Heroes\\BugReport\\BugReport.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\BearShare\\BearShare.exe"=
"c:\\Programme\\Xfire\\xfire.exe"=
"c:\\Programme\\Foolish Entertainment\\ATC for Battlefield 2\\atcbf2.exe"=
"c:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"c:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.4\\cnc3game.dat"=
"n:\\Steam\\SteamApps\\don_kroki\\counter-strike source\\hl2.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.6\\cnc3game.dat"=
"n:\\Stalker\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"n:\\Stalker\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 msikbd2k;Multimedia Keyboard Filter Driver;c:\windows\system32\drivers\Msikbd2k.sys [08.04.2007 17:47 6656]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [18.07.2009 13:50 222968]
R2 nhksrv;Netropa NHK Server;c:\programme\Netropa\Multimedia Keyboard\nhksrv.exe [08.04.2007 17:47 28672]
R3 3xHybrid;Pinnacle PCTV 100i-110i-300i-310i;c:\windows\system32\drivers\3xHybrid.sys [30.09.2006 10:27 882688]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [29.11.2006 21:14 264704]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [30.09.2006 09:25 7040]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [30.09.2006 09:28 1527900]
S3 imhidusb;Immersion's HID USB Driver;c:\windows\system32\drivers\imhidusb.sys [30.10.2006 12:43 26804]
S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);c:\windows\system32\drivers\sea1bus.sys [29.11.2007 19:09 61536]
S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;c:\windows\system32\drivers\sea1mdfl.sys [29.11.2007 19:17 9360]
S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;c:\windows\system32\drivers\sea1mdm.sys [29.11.2007 19:17 97088]
S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\sea1mgmt.sys [29.11.2007 19:40 88624]
S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);c:\windows\system32\drivers\sea1nd5.sys [29.11.2007 19:48 18704]
S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;c:\windows\system32\drivers\sea1obex.sys [29.11.2007 19:40 86432]
S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);c:\windows\system32\drivers\sea1unic.sys [29.11.2007 19:40 90800]
.
Inhalt des "geplante Tasks" Ordners

2009-07-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
uSearchURL,(Default) = hxxp://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
IE: Add to AMV Converter... - c:\programme\MP3 Player Utilities 4.09\AMVConverter\grab.html
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: MediaManager tool grab multimedia file - c:\programme\MP3 Player Utilities 4.09\MediaManager\grab.html
FF - ProfilePath - c:\dokumente und einstellungen\Kotzi\Anwendungsdaten\Mozilla\Firefox\Profiles\dti3e8w2.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.yodl.de/href.php?hrefname=FF-splug_google&q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.lokalisten.de/web/showHome.do
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPJPI150_10.dll
FF - plugin: c:\programme\Java\jre1.5.0_10\bin\NPOJI610.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-17 15:11
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-67824176-1372446298-3875667211-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\

[HKEY_USERS\S-1-5-21-67824176-1372446298-3875667211-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:e5,84,94,b0,74,b9,0a,86,1f,cd,5a,10,f1,5d,5c,35,64,31,6d,53,95,7b,54,
19,7f,a5,1d,4f,fc,f4,a5,f8,99,e1,60,ba,47,31,6e,c4,9d,6a,f7,d7,6c,bd,18,74,\
"??"=hex:51,26,68,11,bc,f8,f9,83,2f,7f,08,b5,c7,73,36,4c

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,94,9e,97,7d,f1,
83,b8,42,e2,63,26,f1,3f,c8,ff,68,41,78,54,6b,cb,25,73,5e,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:71,3b,04,66,8b,46,0d,96,01,21,d9,f5,83,
d3,c9,b7,6a,9c,d6,61,af,45,84,18,38,bb,d5,45,c2,68,70,5c,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,6a,8f,ee,6c,90,
39,34,ef,ff,7c,85,e0,43,d4,0e,fe,e7,38,ef,42,95,63,97,c3,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,49,68,bf,0f,24,
6d,72,41,86,8c,21,01,be,91,eb,e7,ba,33,a5,03,1a,41,48,16,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:e9,02,6c,fa,fb,1d,47,57,1d,9c,e7,7f,67,
bb,32,a7,f5,1d,4d,73,a8,13,5c,05,1d,83,69,e8,ac,fb,66,38,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:50,93,e5,ab,ec,6a,4e,ab,94,be,2e,02,34,
d8,79,45,df,20,58,62,78,6b,cf,c8,4e,9e,52,48,ec,c0,a7,1c,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6,12,2f,9a,ea,3d,05,72,76,72,
3d,96,50,fb,a7,78,e6,12,2f,9a,ea,e2,c6,0d,83,3a,45,f8,77,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,92,65,20,e0,37,
15,19,2c,01,3a,48,fc,e8,04,4a,f1,82,29,83,2f,7d,40,7b,d2,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,a7,a1,68,5f,4c,
f9,8f,fe,f6,0f,4e,58,98,5b,89,c9,25,df,65,00,2e,63,32,b1,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,91,17,04,e4,56,
7d,ff,cc,3d,ce,ea,26,2d,45,aa,78,37,32,9f,41,5c,1f,78,77,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,68,d3,57,35,15,
4f,66,c8,2a,b7,cc,b5,b9,7f,41,e7,8b,2c,6d,d9,31,77,a6,50,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,5f,a3,4a,3d,49,
72,6e,6e,6c,43,2d,1e,aa,22,2f,9c,92,e1,1e,0f,d6,06,73,36,6c,43,2d,1e,aa,22,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-08-17 15:14
ComboFix-quarantined-files.txt 2009-08-17 13:13
ComboFix2.txt 2009-08-17 09:23

Vor Suchlauf: 1.969.119.232 Bytes frei
Nach Suchlauf: 1.912.868.864 Bytes frei

276 --- E O F --- 2009-08-15 22:48

Alt 17.08.2009, 14:41   #15
raman
 
TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm - Standard

TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm


Das ist logisch das kein Popup kam, war ja auch keine Datei zum versenden da! War wieder zu schnell beim Kopieren. So, infizierte Systemdatei ist wiederhergestellt, aber die geloeschte beep.sys muss du dir von einem anderen Rechner mit installierten SP3 kopieren.

Lasse bitte nocheinmal Combofix "normal" laufen und poste den erstellten Report. Wir muessen kontrollieren, ob die Malware nicht nocheinmal wiederhergestellt wurde...
__________________
MfG Ralf

Antwort
Seite 1 von 2 1 2

Themen zu TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm
1.tmp, 8.tmp, adobe, adware.mywebsearch, antivir, avira, canon, disabled.securitycenter, einstellungen, explorer, firefox, google, hijack, hijackthis, hkus\s-1-5-18, immer wieder, internet, internet explorer, magix, malware.trace, mozilla, mp3, neustart, problem, registrierungsschlüssel, security, server, spyware, stick, system, taskleiste, temp, trojan.downloader, virus, windows xp, windows-firewall, windows\temp


« suchergeb. google wird auf yahoo usa umgeleitet | TR/Crypt.ZPACK.Gen ? bekannt? Ja! Hilfe bitte :) »


Ähnliche Themen: TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm


  1. Java-Virus JAVA/Dldr.Dermit.C, JAVA/Dldr.Kara.AB.1, JAVA/Dldr.Karame.AI
    Plagegeister aller Art und deren Bekämpfung - 06.11.2012 (1)
  2. TR/Dldr.Phdet.E.41/ EXP/2008-5353.CP/JAVA/Dldr.Lamar.BD/TR/ATRAPS.Gen2
    Plagegeister aller Art und deren Bekämpfung - 23.07.2012 (29)
  3. ATRAPS.GEN & GEN2, Dldr.Phdet.E.38, Kazy.79779, JAVA.Ternub.Gen, Dldr.Lamar.BD in C:\Users\.\AppData
    Plagegeister aller Art und deren Bekämpfung - 05.07.2012 (3)
  4. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (54)
  5. TR/Dldr.Small.baxg, TR/Dldr.Small.baxh, TR/Dldr.Small.baxe, TR/Dldr.Small.baxe kommen zum 2ten mal
    Mülltonne - 01.12.2010 (0)
  6. TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE!
    Plagegeister aller Art und deren Bekämpfung - 29.06.2010 (68)
  7. Antivir meldet Trojaner TR/Dldr.Agent.cyrd / TR/Dldr.Exchanger.ayn
    Plagegeister aller Art und deren Bekämpfung - 20.06.2010 (4)
  8. BDS/Bredolab/ena, Tr/Dldr.java.Agent.Bh.3,Tr/Dldr.Fakea.jhd.2
    Log-Analyse und Auswertung - 31.05.2010 (2)
  9. TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm
    Plagegeister aller Art und deren Bekämpfung - 02.10.2009 (39)
  10. Didr FraudLo - erbitte Hilfe bei Trojaner-Problem :)
    Log-Analyse und Auswertung - 03.09.2009 (3)
  11. TR/Dldr.Calac.dmg und Dldr.Elly.L gefunden. Und jetzt?
    Plagegeister aller Art und deren Bekämpfung - 03.06.2009 (25)
  12. 3 trojaner TR/Yatagan.Dll. TR/Dldr.dll.Ya.2. TR/Dldr.Agent.dag
    Plagegeister aller Art und deren Bekämpfung - 22.09.2007 (9)
  13. TR/Agent.AY, TR/Dldr.Delmed.B, TR/Dldr.Stubby.C
    Log-Analyse und Auswertung - 15.09.2006 (1)
  14. TR/Dldr.Delf.DG | TR/StartPage.IG | TR/Dldr.Small.YX.1 | HTML script virus | dialer
    Log-Analyse und Auswertung - 14.04.2005 (7)
  15. Tr/Dldr.IstBar.gen - Tr/Dldr.Dvfuca.X - Tr/dldr.small.xo
    Plagegeister aller Art und deren Bekämpfung - 06.03.2005 (8)
  16. SOS Habe TR/Dldr.small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 13.10.2004 (3)
  17. Hilfe!! TR/Dldr.Small.OR und TR/Dldr.Agent.CB
    Plagegeister aller Art und deren Bekämpfung - 09.09.2004 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm - Hallo, vorerst...Ich habe in diesem Forum schon Lösungswege für mein Problem gefunden nur leider haben sie bei mir irgendwie nichts gebracht deswegen eröffne ich dieses Thema. Beim Surfen neuerdings hab - TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm...
Archiv
Du betrachtest: TR/Rootkir.Gen und TR/Dldr.FraudLo.sxm auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130