TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm

john.doe · 27.09.2009, 14:14

Hallo Christina,

Zitat:

Hoffe, du kannst damit arbeiten.

Ja, beim nächsten Mal allerdings nicht als Worddokument speichern, sondern als Textdokument (mit notepad). Dann hat es statt 80 KB nämlich nur noch 28 KB.

Und ich wüsste nicht deinen Nachnamen.

1.) Falls du dieses Programm nicht kennst oder benutzt, dann bitte deinstallieren => ABBYY FineReader 6.0 Sprint

2.) Deinstalliere:

Adobe Reader 7.1.0
Adobe Shockwave Player 11
Ask Toolbar
Google Toolbar for Firefox
Google Toolbar for Internet Explorer
IBM 32-bit Runtime Environment for Java 2, v1.4.2
Mozilla Firefox (1.5.0.7)
PC-Doctor 5 for Windows
PDFCreator Toolbar
Shockwave
SuperAntiSpyware
VideoLAN VLC media player 0.8.6d

3.) Installiere (Toolbars immer abwählen, Haken weg):

4.) Lade die Dateien

Code:

ATTFilter

C:\Dokumente und Einstellungen\******\Anwendungsdaten\lizkavd.exe
C:\Dokumente und Einstellungen\******\Anwendungsdaten\svcst.exe
C:\WINDOWS\zopokiqor.exe
C:\WINDOWS\system32\ycelob.dll
C:\WINDOWS\system32\osuzat.exe
C:\Programme\Gemeinsame Dateien\suhoka.exe
C:\Dokumente und Einstellungen\******\Anwendungsdaten\uxakufohi.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ufufewere.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\omameqice.vbs
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ekivew.com
C:\Dokumente und Einstellungen\******\Anwendungsdaten\seres.exe

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

ciao, andreas

All_I_Need · 27.09.2009, 15:58

Lieber Andreas,

meine Hausaufgaben habe ich erledigt, beim Aufspüren der Dateien, die ich uploaden sollte, konnte ich folgende nicht finden (Es war einfach nichts zu sehen):
C:\Dokumente und Einstellungen\******\Anwendungsdaten\seres.exe
C:\Dokumente und Einstellungen\******\Anwendungsdaten\lizkavd.exe
C:\Dokumente und Einstellungen\******\Anwendungsdaten\svcst.exe
und

C:\Programme\Gemeinsame Dateien\suhoka.exe

konnte ich auch nicht finden: Ich erinnere mich aber dunkel, dass ich neulich nach der Atacke in meiner Panik genau in diesem Bereich eine seltsame Datei gelöscht habe ( mit Papierkorb und CCleaner)

Wie geht es jetzt weiter, wie schlimm ist die Lage?

Gruß
Christina

john.doe · 27.09.2009, 18:17

Die Daten, die du hochgeladen hast, hatten alle denselben Inhalt: Datenmüll. Nicht eine davon ist gefährlich, da scheint zu deinem Glück ein Download vorzeitig abgebrochen worden zu sein.

Erstelle ein Filelisting.

Lade die Datei listing1.bat auf deinen Desktop
Doppelklicke auf listing1.bat
Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de) hochladen und hier den Link posten.

ciao, andreas

All_I_Need · 27.09.2009, 19:52

So, hier ist die logfile listing:

huch, muss da noch ma ran

All_I_Need · 27.09.2009, 20:06

So, jetzt müsste das gehen

hier deine logfile:
http://www.materialordner.de/l9jAw4C94dujilyLOUF6C1QYIEV6ADDM.html

john.doe · 27.09.2009, 21:02

Im Filelisting habe ich weitere Schädlinge gefunden. Möchtest du die von Hand löschen oder soll ich dir ein Skript schreiben (Avenger oder ComboFix).

Code:

ATTFilter

23.09.2009  00:04            15.366 osuzat.exe
23.09.2009  00:04            12.080 rydukegole.inf
23.09.2009  00:04            15.335 qijoxyb.db
23.09.2009  00:04            15.402 zuca.dl
23.09.2009  00:04            11.130 zamovivol._sy
23.09.2009  00:04            18.043 kago.dl
23.09.2009  00:04            17.632 ycelob.dll
23.09.2009  00:00            19.862 mipo.bin
23.09.2009  00:00            18.700 jamahok.db
23.09.2009  00:00            16.718 ohapezumow.inf

23.09.2009  00:04            12.374 inyby._dl
23.09.2009  00:04            13.460 zopokiqor.exe
23.09.2009  00:00            16.206 mitesupahu.scr
23.09.2009  00:00            10.318 byqux._sy
23.09.2009  00:00            11.525 gixebake.reg
23.09.2009  00:00            10.324 anujaku._sy
23.09.2009  00:00            10.842 legihup.dl
23.09.2009  00:00            12.253 oqavavycag._sy
23.09.2009  00:00            19.739 ywuxeh.lib
23.09.2009  00:00            12.857 utybypyc.reg

23.09.2009  00:04            19.922 omameqice.vbs
23.09.2009  00:04            11.266 muwolus.bin
23.09.2009  00:04            16.017 ufufewere.com
23.09.2009  00:00            19.843 gewewyvyta.db
23.09.2009  00:00            15.450 exuzany.dat
23.09.2009  00:00            13.312 ekivew.com

23.09.2009  00:04            10.521 eqarace.bin
23.09.2009  00:04            17.042 uxakufohi.com
23.09.2009  00:00            12.653 aqaxot.dat
23.09.2009  00:00            18.424 ifabeb.scr

Da sind auch einige sehr suspekte Ordner, wie

Zitat:

c:\48de36c8a253698daa
c:\2aeb7ad095a678d53d55a9
c:\b30a5476b8f3e0a39e9b68bf
c:\ec6a754e432cb7c3e732c20764

Dann solltest du dringendst mit CCleaner arbeiten => http://www.trojaner-board.de/51464-a...-ccleaner.html

ciao, andreas

All_I_Need · 27.09.2009, 21:18

Zitat:

Im Filelisting habe ich weitere Schädlinge gefunden. Möchtest du die von Hand löschen oder soll ich dir ein Skript schreiben (Avenger oder ComboFix).

Was ist denn sicherer? ist Combofix denn leicht zu bedienen? Und wenn ich von Hand lösche, wie finde ich dann die Schädlinge?

Zitat:

c:\48de36c8a253698daa
c:\2aeb7ad095a678d53d55a9
c:\b30a5476b8f3e0a39e9b68bf
c:\ec6a754e432cb7c3e732c20764

Und soll ich diese Ordner auch löschen?

john.doe · 27.09.2009, 21:26

Zitat:

Was ist denn sicherer?

Kann ich nicht sagen, hängt von dir ab.

Zitat:

Wenn ich von Hand lösche, wo finde ich diese Schädlinge?

C:\WINDOWS\system32
C:\WINDOWS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
C:\Dokumente und Einstellungen\**********\Anwendungsdaten

Zitat:

Ist Combofix denn einfach zu bedienen?

Doppelklick drauf und es läuft los.

Zitat:

Sollen diese ordner auch gelöscht werden?

Kontrolliere den Inhalt der Ordner. Achte auf Dateinamen und Daten (gemeint sind Datumse).

Vermutlich sind das Ordner, die bei Installationen übrig geblieben sind.

ciao, andreas

All_I_Need · 27.09.2009, 21:33

Zitat:

Zitat:
Was ist denn sicherer?

Kann ich nicht sagen, hängt von dir ab.

Also, ich bin jetzt echt kein DAU aber auch nicht besonders geschickt.
Möchte nicht, dass mir alles zusammenfällt, nach all der Mühe, die wir hier investiert haben.

Also Combofix einfach anwenden und warten und gut ist?

john.doe · 27.09.2009, 21:38

Nein, so einfach nun auch wieder nicht. Ich bastel dir ein Script, dass alle Schädlinge löscht. Dann kann ich mir auch den Inhalt der Ordner anzeigen lassen.

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

All_I_Need · 27.09.2009, 22:23

So, hab Combofix mit Herzklopfen überstanden, meine letzte Amtshandlung heute. Ich geh jetzt ins Bett.

Schon mal Danke für Zeit und Nerven.
Ich schau morgen wieder rein.
und hier dein logfile:

Zitat:

ComboFix 09-09-25.01 - ********* 27.09.2009 23:04.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.420 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\*********\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\ekivew.com
c:\dokumente und einstellungen\All Users\Anwendungsdaten\muwolus.bin
c:\dokumente und einstellungen\All Users\Anwendungsdaten\omameqice.vbs
c:\dokumente und einstellungen\All Users\Anwendungsdaten\ufufewere.com
c:\dokumente und einstellungen\*********\Anwendungsdaten\eqarace.bin
c:\dokumente und einstellungen\*********\Anwendungsdaten\ifabeb.scr
c:\dokumente und einstellungen\*********\Anwendungsdaten\uxakufohi.com
c:\dokumente und einstellungen\*********\Cookies\irilotafax.bat
c:\dokumente und einstellungen\*********\Cookies\iximany.scr
c:\dokumente und einstellungen\*********\Cookies\syrusyryz.bat
c:\dokumente und einstellungen\*********\Lokale Einstellungen\Anwendungsdaten\bigej.com
c:\dokumente und einstellungen\*********\Lokale Einstellungen\Anwendungsdaten\emulitas.scr
c:\dokumente und einstellungen\*********\Lokale Einstellungen\Anwendungsdaten\mekuj.dll
c:\dokumente und einstellungen\*********\Lokale Einstellungen\Anwendungsdaten\ymiryb.com
c:\programme\Gemeinsame Dateien\agodar._dl
c:\programme\Gemeinsame Dateien\kajomini.sys
c:\programme\Gemeinsame Dateien\suhoka.exe
c:\windows\gixebake.reg
c:\windows\inyby._dl
c:\windows\legihup.dl
c:\windows\mitesupahu.scr
c:\windows\system32\kago.dl
c:\windows\system32\mipo.bin
c:\windows\system32\ohapezumow.inf
c:\windows\system32\osuzat.exe
c:\windows\system32\rydukegole.inf
c:\windows\system32\ycelob.dll
c:\windows\system32\zuca.dl
c:\windows\utybypyc.reg
c:\windows\zopokiqor.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-27 bis 2009-09-27 ))))))))))))))))))))))))))))))
.

2009-09-27 16:40 . 2009-09-27 17:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2009-09-27 16:40 . 2009-09-27 17:40 -------- d-----w- c:\programme\NortonInstaller
2009-09-27 16:40 . 2009-09-27 16:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-09-27 13:55 . 2009-09-27 13:56 -------- dc-h--w- c:\windows\ie8
2009-09-27 13:43 . 2009-09-27 13:43 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-09-27 13:40 . 2009-09-27 13:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-09-27 13:26 . 2009-09-27 13:26 2560 ----a-w- c:\windows\_MSRSTRT.EXE
2009-09-23 16:26 . 2009-09-23 16:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-09-23 16:26 . 2009-09-27 13:35 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-09-23 16:26 . 2009-09-27 13:35 -------- d-----w- c:\dokumente und einstellungen\*********\Anwendungsdaten\SUPERAntiSpyware.com
2009-09-23 08:18 . 2009-09-27 12:24 -------- d-----w- c:\programme\trend micro
2009-09-23 08:18 . 2009-09-23 08:18 -------- d-----w- C:\rsit
2009-09-23 08:04 . 2009-09-23 08:04 -------- d-----w- c:\programme\CCleaner
2009-09-23 00:37 . 2009-09-23 00:37 -------- d-----w- c:\dokumente und einstellungen\*********\Anwendungsdaten\Malwarebytes
2009-09-23 00:37 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-23 00:37 . 2009-09-23 00:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-23 00:37 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-23 00:37 . 2009-09-23 00:37 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-22 22:56 . 2009-09-22 22:56 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\PrivacIE
2009-09-22 22:56 . 2009-09-22 22:56 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2009-09-22 22:00 . 2009-09-22 22:00 19336 ----a-w- c:\programme\Gemeinsame Dateien\odijufajix.dat
2009-09-09 17:31 . 2009-06-21 21:45 153088 ------w- c:\windows\system32\dllcache\triedit.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-27 17:40 . 2006-10-19 12:05 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2009-09-27 16:40 . 2006-10-19 12:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-09-27 13:36 . 2009-06-21 20:15 -------- d-----w- c:\programme\VideoLAN
2009-09-27 13:35 . 2009-06-17 12:08 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-09-27 13:33 . 2006-10-19 11:46 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-09-27 13:32 . 2006-10-19 12:15 -------- d-----w- c:\programme\Google
2009-09-22 23:31 . 2009-08-05 19:52 -------- d-----w- c:\programme\BitTorrent
2009-09-22 23:31 . 2009-08-05 19:53 -------- d-----w- c:\dokumente und einstellungen\*********\Anwendungsdaten\BitTorrent
2009-09-22 22:04 . 2009-09-22 22:04 15538 ----a-w- c:\programme\Gemeinsame Dateien\luhel.db
2009-09-22 22:00 . 2009-09-22 22:00 15450 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\exuzany.dat
2009-09-22 22:00 . 2009-09-22 22:00 12653 ----a-w- c:\dokumente und einstellungen\*********\Anwendungsdaten\aqaxot.dat
2009-09-22 22:00 . 2009-09-22 22:00 10075 ----a-w- c:\programme\Gemeinsame Dateien\imokybyny.db
2009-09-20 11:27 . 2009-02-13 13:46 -------- d-----w- c:\dokumente und einstellungen\*********\Anwendungsdaten\Move Networks
2009-09-14 12:41 . 2009-05-31 15:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON
2009-09-09 17:42 . 2009-07-07 16:25 -------- d-----w- c:\programme\Microsoft Silverlight
2009-08-23 17:05 . 2007-01-13 19:54 37912 ----a-w- c:\dokumente und einstellungen\*********\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-21 06:18 . 1979-12-31 23:00 84722 ----a-w- c:\windows\system32\perfc007.dat
2009-08-21 06:18 . 1979-12-31 23:00 459396 ----a-w- c:\windows\system32\perfh007.dat
2009-08-21 06:14 . 2009-08-21 06:14 -------- d-----w- c:\programme\MSBuild
2009-08-21 06:14 . 2009-08-21 06:14 -------- d-----w- c:\programme\Reference Assemblies
2009-08-05 13:00 . 2009-03-19 10:50 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-05 08:59 . 1979-12-31 23:00 206336 ------w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:01 . 1979-12-31 23:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 1979-12-31 23:00 286208 ------w- c:\windows\system32\wmpdxm.dll
2009-07-03 16:55 . 1979-12-31 23:00 915456 ----a-w- c:\windows\system32\wininet.dll
2008-05-05 17:33 . 2008-05-05 17:33 14852 ----a-w- c:\programme\settings.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2005-10-28 864256]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2006-02-24 237568]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-03-09 94208]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"LPManager"="c:\progra~1\THINKV~1\PrdCtr\LPMGR.exe" [2006-03-23 106496]
"AMSG"="c:\progra~1\THINKV~1\AMSG\amsg.exe" [2005-11-14 487424]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-08-01 122940]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"AwaySch"="c:\programme\Lenovo\AwayTask\AwaySch.EXE" [2006-03-23 69632]
"cssauthe"="c:\programme\IBM ThinkVantage\Client Security Solution\cssauthe.exe" [2005-12-21 1988144]
"PDService.exe"="c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" [2005-11-15 49152]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2005-10-28 335872]
"DiskeeperSystray"="c:\programme\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-03-01 196710]
"ACTray"="c:\programme\ThinkPad\ConnectUtilities\ACTray.exe" [2006-04-17 409600]
"ACWLIcon"="c:\programme\ThinkPad\ConnectUtilities\ACWLIcon.exe" [2006-04-17 98304]
"PWRMGRTR"="c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL" [2006-03-23 151552]
"BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2006-03-23 208896]
"WorksFUD"="c:\programme\Microsoft Works\wkfud.exe" [2001-10-09 24576]
"Microsoft Works Portfolio"="c:\programme\Microsoft Works\WksSb.exe" [2001-10-04 331830]
"Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2001-10-04 28738]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2006-03-28 503808]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-04-15 198160]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-05-26 413696]
" Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"TrackPointSrv"="tp4serv.exe" - c:\windows\system32\tp4serv.exe [2005-07-13 94208]
"TP4EX"="tp4ex.exe" - c:\windows\system32\TP4EX.exe [2005-10-17 65536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\ThinkPad\Bluetooth Software\BTTray.exe [2006-1-17 618557]
Erinnerungen in Microsoft Works-Kalender.lnk - c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe [2001-10-4 24633]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-4-29 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify]
2006-03-23 01:03 49152 ------w- c:\programme\Lenovo\AwayTask\AwayNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify]
2006-04-17 12:01 32768 ------w- c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 22:45 28672 ------w- c:\windows\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 19:16 24576 ------w- c:\windows\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli csspwntfye

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"c:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"c:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=

R1 TPPWRIF;TPPWRIF;c:\windows\system32\drivers\TPPWRIF.SYS [19.10.2006 14:15 4442]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.03.2009 12:50 108289]
R2 ibmfilter;ibmfilter;c:\windows\system32\drivers\ibmfilter.sys [21.12.2005 18:14 12544]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\FRITZ!DSL\IGDCTRL.EXE [04.09.2007 10:14 87344]
R2 PrivateDisk;PrivateDisk;c:\programme\IBM ThinkVantage\SafeGuard PrivateDisk\privatediskm.sys [15.11.2005 14:11 46142]
R2 smi2;smi2;c:\programme\SMI2\smi2.sys [21.12.2005 17:45 3968]
R3 Tp4Track;PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [01.01.1980 01:00 13840]
S3 AF05BDA;AF9005 BDA Device;c:\windows\system32\drivers\AF05BDA.sys [22.01.2007 20:43 133504]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-09-27 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2006-10-19 00:13]

2009-09-27 c:\windows\Tasks\User_Feed_Synchronization-{E43F0CF1-5770-4D75-91B6-0AA550740B74}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://web.de/fm/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
LSP: c:\programme\FRITZ!DSL\\sarah.dll
FF - ProfilePath - c:\dokumente und einstellungen\*********\Anwendungsdaten\Mozilla\Firefox\Profiles\t7x70c27.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.ask.com/?o=101764&l=dis
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-NavLogon - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-27 23:08
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(852)
c:\programme\ThinkPad\ConnectUtilities\ACNotify.dll
c:\programme\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\programme\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\programme\ThinkPad\ConnectUtilities\ACHelper.dll
c:\windows\system32\tphklock.dll
c:\programme\Lenovo\AwayTask\AwayNotify.dll
c:\windows\system32\igfxdev.dll
c:\windows\system32\notifyf2.dll

- - - - - - - > 'lsass.exe'(908)
c:\programme\IBM ThinkVantage\Client Security Solution\csspwntfye.dll
c:\programme\IBM ThinkVantage\Client Security Solution\cssuserdatadispatcher.dll
c:\programme\IBM ThinkVantage\Client Security Solution\ibmtsp.dll
c:\programme\IBM ThinkVantage\Client Security Solution\tcsrpc.dll
c:\programme\FRITZ!DSL\sarah.dll
c:\programme\FRITZ!DSL\block.dll
.
Zeit der Fertigstellung: 2009-09-27 23:10
ComboFix-quarantined-files.txt 2009-09-27 21:10

Vor Suchlauf: 6.325.813.248 Bytes frei
Nach Suchlauf: 6.826.143.744 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

259 --- E O F --- 2009-09-27 14:02

john.doe · 27.09.2009, 22:40

Zitat:

meine letzte Amtshandlung heute

Bist du Pastorin? Solche Begriffe benutzen keine "normalen" Leute.

Gute Nacht, andreas

john.doe · 28.09.2009, 20:08

Wir müssen in mehreren Schritten arbeiten, ansonsten wird das Script zu lang. Vorher die *** durch deinen Anmeldenamen ersetzen.

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"=-
"ISUSPM Startup"=-
"ISUSScheduler"=-
"Microsoft Works Portfolio"=-
"Microsoft Works Update Detection"=-
"NeroCheck"=-
"TkBellExe"=-
"QuickTime Task"=-
"Adobe Reader Speed Launcher"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000000
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

Files::
c:\dokumente und einstellungen\All Users\Anwendungsdaten\gewewyvyta.db
c:\dokumente und einstellungen\All Users\Anwendungsdaten\exuzany.dat
c:\dokumente und einstellungen\*********\Anwendungsdaten\aqaxot.dat
c:\windows\byqux._sy
c:\windows\anujaku._sy
c:\windows\oqavavycag._sy
c:\windows\ywuxeh.lib
c:\windows\system32\qijoxyb.db
c:\windows\system32\zamovivol._sy
c:\windows\system32\jamahok.db
c:\programme\Gemeinsame Dateien\luhel.db
c:\programme\Gemeinsame Dateien\odijufajix.dat
c:\programme\Gemeinsame Dateien\imokybyny.db
c:\windows\system32\perfh007.dat
c:\windows\system32\perfc007.dat

Folder::
c:\dokumente und einstellungen\*********\Cookies
C:\rsit

DirLook::
c:\programme\Gemeinsame Dateien
c:\dokumente und einstellungen\*********\Lokale Einstellungen\Anwendungsdaten
c:\48de36c8a253698daa
c:\2aeb7ad095a678d53d55a9
c:\b30a5476b8f3e0a39e9b68bf
c:\ec6a754e432cb7c3e732c20764

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

Danach das Log von Combofix posten.

Das Log wird sehr groß werden. Lade es bei einem Filehoster hoch (z.B. www.file-upload.net) und poste hier den Link.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

All_I_Need · 28.09.2009, 22:17

N'abend Andreas,

Danke für deine Arbeit. Ich habe meine Aufgaben erledigt hier ist dein logfile:
http://www.materialordner.de/viMXT1P0mISrHCOMhZgzYJPbuCP4JEe4.html

Ach und...

Zitat:

Zitat:
meine letzte Amtshandlung heute

Bist du Pastorin? Solche Begriffe benutzen keine "normalen" Leute.

öhm, erwischt, ich bin tatsächlich in diesem Beruf tätig und wollte gestern abend eigentlich nur übermüdet eine übertriebene Floskel benutzen. Ansonsten hoffe ich doch, dass ich mich wie "normale" Leute ausdrücke. Also nicht

sondern

john.doe · 28.09.2009, 23:15

Mein Vater war auch einer und wenn ich Herrenhuth lese, weiß ich Bescheid.

Für das nächste Script brauche ich etwas Zeit. Kommt dann morgen. Du kannst die Zeit aber schonmal zum Scannen nutzen.

1.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

Gute Nacht, andreas

TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm

Plagegeister aller Art und deren Bekämpfung: TR/FakeAV.bak.2 / HTML/Malicious.PDF.Gen und eventuell tr/dldr.fraudlo.sxm