Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
WORM/VB.BV.4 --- odbcasvc.exe

WORM/VB.BV.4 --- odbcasvc.exe


Plagegeister aller Art und deren Bekämpfung: WORM/VB.BV.4 --- odbcasvc.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 2 von 3 1 2 3
Alt 30.09.2009, 22:06   #16
dkrocfam
 
WORM/VB.BV.4 --- odbcasvc.exe - Standard

WORM/VB.BV.4 --- odbcasvc.exe


soo habs doch noch hinbekommen... kann jetz auch wieder auf alle festplatten zugreifen.. hat sich das problem damit behoben?
jetz hab ich zB noch einen Ordner auf E und F dazu bekommen RECYCLER... kann der weg?

lg




ComboFix 09-09-30.01 - Optimus Prime 30.09.2009 22:56.1.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3327.2685 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Optimus Prime\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\AutoRun.inf
c:\windows\system32\lsprst7.dll
c:\windows\system32\msvcsv60.dll
c:\windows\system32\ssprs.dll
E:\Autorun.inf
F:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-08-28 bis 2009-09-30 ))))))))))))))))))))))))))))))
.

2009-09-30 15:48 . 2009-09-30 15:48 -------- d-----w- c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\Malwarebytes
2009-09-30 15:48 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-30 15:48 . 2009-09-30 15:48 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-30 15:48 . 2009-09-30 15:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-30 15:48 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-30 15:24 . 2009-09-30 15:24 -------- d-----w- C:\rsit
2009-09-30 14:43 . 2009-09-30 14:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-09-30 14:43 . 2009-09-30 14:43 -------- d-----w- c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\Yahoo!
2009-09-30 14:43 . 2009-09-30 14:43 -------- d-----w- c:\programme\Yahoo!
2009-09-30 14:43 . 2009-09-30 14:43 -------- d-----w- c:\programme\CCleaner
2009-09-30 14:32 . 2009-09-30 14:32 -------- d-----w- c:\programme\Trend Micro
2009-09-29 20:32 . 2009-09-30 16:48 -------- d-sh--r- c:\windows\system32\Recycled
2009-09-29 20:31 . 2009-09-29 20:31 14336 ----a-w- c:\windows\uda.exe
2009-09-16 20:10 . 2009-09-16 20:10 -------- d-----w- c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\TeamViewer
2009-09-16 20:09 . 2009-09-16 20:09 -------- d-----w- c:\dokumente und einstellungen\Optimus Prime\temp
2009-09-16 06:45 . 2009-09-16 06:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan
2009-09-16 06:44 . 2009-09-16 06:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-09-16 06:44 . 2009-09-16 06:44 -------- d-----w- c:\programme\NOS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-22 11:06 . 2009-07-08 18:48 -------- d-----w- c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\vlc
2009-09-14 11:56 . 2009-07-23 11:37 8 ----a-w- c:\windows\system32\nvModes.dat
2009-08-18 20:36 . 2009-05-28 05:47 -------- d-----w- c:\programme\Winamp
2009-08-15 20:31 . 2009-05-28 12:26 48 ----a-w- c:\windows\msocreg32.dat
2009-08-15 20:21 . 2009-05-28 11:32 -------- d-----w- c:\programme\Music
2009-08-09 15:47 . 2009-08-09 15:47 -------- d-----w- c:\programme\G-Sonique
2009-08-09 14:23 . 2009-08-05 07:24 -------- d-----w- c:\programme\Gemeinsame Dateien\Native Instruments
2009-08-09 14:23 . 2009-08-05 07:17 -------- d-----w- c:\programme\Native Instruments
2009-08-09 14:19 . 2009-06-07 14:12 -------- d-----w- c:\programme\Common Files
2009-08-06 06:39 . 2009-05-28 05:35 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-05 07:33 . 2009-05-28 12:44 -------- d-----w- c:\programme\Nomad Factory
2009-08-05 06:35 . 2009-05-28 03:11 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-08-03 15:40 . 2009-08-03 15:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ableton
2009-08-03 15:40 . 2009-08-03 15:40 -------- d-----w- c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\Ableton
2009-07-22 20:14 . 2009-07-22 20:14 2494464 ----a-w- c:\windows\AF_Osc.dat
2009-07-15 16:44 . 2009-05-27 21:18 788488 ----a-w- c:\dokumente und einstellungen\Optimus Prime\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-15 13:40 . 2009-05-28 12:49 720896 ----a-w- c:\windows\iun6002.exe
2009-05-28 11:35 . 2009-05-28 11:35 1868 ----a-w- c:\programme\uninstal.log
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2006-05-03 09:06 . 2009-07-29 14:54 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-07-29 14:54 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-07-29 14:54 216064 --sh--r- c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2009-02-21 4333568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-22 385024]
" Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-04-30 1657376]
"DeltTray"="DeltTray.exe" - c:\windows\system32\delttray.exe [2004-08-26 56320]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"Midi1"=mstud-2int.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Dokumente und Einstellungen\\Optimus Prime\\Desktop\\CryptLoad_1.1.6\\RouterClient.exe"=
"c:\\Dokumente und Einstellungen\\Optimus Prime\\Desktop\\CryptLoad_1.1.6\\CryptLoad.exe"=
"c:\\Dokumente und Einstellungen\\Optimus Prime\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.05.2009 07:35 108289]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [02.07.2009 12:46 604416]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [28.05.2009 08:17 33792]
R3 MIDUSB;Driver for MidiStuio-2;c:\windows\system32\drivers\mstud-2drv.sys [28.05.2009 08:49 17920]
S3 DELTAII;Service for M-Audio Delta Driver (WDM);c:\windows\system32\DRIVERS\deltaII.sys --> c:\windows\system32\DRIVERS\deltaII.sys [?]
S3 getPlusHelper;getPlus(R) Helper;c:\windows\System32\svchost.exe -k getPlusHelper [14.04.2008 14:00 14336]
S3 MagixASIODrv;MAGIX_ASIO_BoostDriver;e:\music programme\samplitude 9\mxasio.sys [15.08.2009 22:19 4899]
S3 MusCAudio;MusCAudio;c:\windows\system32\drivers\MusCAudio.sys [28.06.2009 17:39 23096]
S3 MusCVideo;MusCVideo;c:\windows\system32\drivers\MusCVideo.sys [28.06.2009 17:39 3768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-09-30 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-04-27 12:39]

2009-09-30 c:\windows\Tasks\User_Feed_Synchronization-{F874206D-C7C7-444B-88BB-4907B79F8EFE}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} - hxxp://lads.myspace.com/upload/MySpaceUploader2.cab
FF - ProfilePath - c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\Mozilla\Firefox\Profiles\t73mwjjf.default\
FF - plugin: c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\Mozilla\Firefox\Profiles\t73mwjjf.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-30 22:58
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"AB141C35E9F4BF344B9FC010BB17F68A"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{53C141BA-4F9E-43FB-B4F9-0C01BB716FA8}\\Registered"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(700)
c:\windows\system32\mstud-2int.cpl

- - - - - - - > 'lsass.exe'(756)
c:\windows\system32\mstud-2int.cpl
.
Zeit der Fertigstellung: 2009-09-30 22:58
ComboFix-quarantined-files.txt 2009-09-30 20:58

Vor Suchlauf: 8 Verzeichnis(se), 37.885.714.432 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 38.221.811.712 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

161

Alt 30.09.2009, 22:20   #17
john.doe
 
WORM/VB.BV.4 --- odbcasvc.exe - Standard

WORM/VB.BV.4 --- odbcasvc.exe


Zitat:
hat sich das problem damit behoben?
Das Problem mit den Festplattenzugriffen ja. Aber da ist noch mehr im Argen.
Zitat:
jetz hab ich zB noch einen Ordner auf E und F dazu bekommen RECYCLER... kann der weg?
Ja, den legt aber Windows von sich aus wieder an. Die lösche ich dir mit Script weg, da könnten noch Schädlinge drin sein.

1.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

2.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas
__________________

__________________
Alt 02.10.2009, 09:12   #18
dkrocfam
 
WORM/VB.BV.4 --- odbcasvc.exe - Standard

WORM/VB.BV.4 --- odbcasvc.exe




so das hab ich schonmal hingekriegt. mit dem kaspersky onlinescanner komm ich noch nicht ganz klar. Aber ich schau mal. Irgendwie will er ein addon installieren tut es aber nicht! maL schauen... bringt das auch schon erstmal was?

lg

ps vll hilft dir das hier noch ein wenig. das spuckt mein antivir aus: http://www.avira.com/de/threats/sect...m_vb.bv.4.html
__________________
Geändert von dkrocfam (02.10.2009 um 09:18 Uhr)

Alt 02.10.2009, 15:26   #19
john.doe
 
WORM/VB.BV.4 --- odbcasvc.exe - Standard

WORM/VB.BV.4 --- odbcasvc.exe


Perfekt, das hat mir die Suche erspart.

1.) Deinstalliere PrevxCSI.

2.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
KILLALL::

Driver::
Bonjour Service
getPlusHelper
odbcasvc

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000000
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=-
"c:\\Programme\\uTorrent\\uTorrent.exe"=-

File::
c:\windows\uda.exe

Folder::
c:\windows\system32\Recycled
c:\rsit
c:\windows\Microsoft.NET\Debug\Temp\
d:\Recycled
e:\Recycled
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

  • Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

Wenn du das nächste Mal itunes startest, kommt genau einmal eine Fehlermeldung. Ignorieren.
Zitat:
bringt das auch schon erstmal was?
Ja, wenn der Kasper wieder rumzickt, dann nehmen wir einen Anderen.

3.) Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
ciao, andreas


ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?
Geändert von john.doe (02.10.2009 um 15:45 Uhr)

Alt 03.10.2009, 18:07   #20
dkrocfam
 
WORM/VB.BV.4 --- odbcasvc.exe - Standard

WORM/VB.BV.4 --- odbcasvc.exe


so nr 1. :

ComboFix 09-10-01.05 - Optimus Prime 03.10.2009 17:38.2.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3327.2919 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Optimus Prime\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Optimus Prime\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
"c:\windows\uda.exe"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\rsit
c:\rsit\info.txt
c:\rsit\log.txt
c:\windows\Microsoft.NET\Debug\Temp\
c:\windows\system32\Recycled
c:\windows\system32\Recycled\desktop.ini
c:\windows\uda.exe
e:\Recycled

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BONJOUR_SERVICE
-------\Legacy_GETPLUSHELPER
-------\Service_Bonjour Service
-------\Service_getPlusHelper


((((((((((((((((((((((( Dateien erstellt von 2009-09-03 bis 2009-10-03 ))))))))))))))))))))))))))))))
.

2009-10-01 18:35 . 2009-10-01 18:35 -------- d-----w- c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\U3
2009-09-30 20:54 . 2009-09-30 20:58 -------- d-----w- C:\cofi
2009-09-30 15:48 . 2009-09-30 15:48 -------- d-----w- c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\Malwarebytes
2009-09-30 15:48 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-30 15:48 . 2009-09-30 15:48 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-30 15:48 . 2009-09-30 15:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-30 15:48 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-30 14:43 . 2009-09-30 14:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-09-30 14:43 . 2009-09-30 14:43 -------- d-----w- c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\Yahoo!
2009-09-30 14:43 . 2009-09-30 14:43 -------- d-----w- c:\programme\Yahoo!
2009-09-30 14:43 . 2009-09-30 14:43 -------- d-----w- c:\programme\CCleaner
2009-09-30 14:32 . 2009-09-30 14:32 -------- d-----w- c:\programme\Trend Micro
2009-09-16 20:10 . 2009-09-16 20:10 -------- d-----w- c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\TeamViewer
2009-09-16 20:09 . 2009-09-16 20:09 -------- d-----w- c:\dokumente und einstellungen\Optimus Prime\temp
2009-09-16 06:45 . 2009-09-16 06:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan
2009-09-16 06:44 . 2009-09-16 06:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-09-16 06:44 . 2009-09-16 06:44 -------- d-----w- c:\programme\NOS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-22 11:06 . 2009-07-08 18:48 -------- d-----w- c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\vlc
2009-09-14 11:56 . 2009-07-23 11:37 8 ----a-w- c:\windows\system32\nvModes.dat
2009-08-18 20:36 . 2009-05-28 05:47 -------- d-----w- c:\programme\Winamp
2009-08-15 20:31 . 2009-05-28 12:26 48 ----a-w- c:\windows\msocreg32.dat
2009-08-15 20:21 . 2009-05-28 11:32 -------- d-----w- c:\programme\Music
2009-08-09 15:47 . 2009-08-09 15:47 -------- d-----w- c:\programme\G-Sonique
2009-08-09 14:23 . 2009-08-05 07:24 -------- d-----w- c:\programme\Gemeinsame Dateien\Native Instruments
2009-08-09 14:23 . 2009-08-05 07:17 -------- d-----w- c:\programme\Native Instruments
2009-08-09 14:19 . 2009-06-07 14:12 -------- d-----w- c:\programme\Common Files
2009-08-06 06:39 . 2009-05-28 05:35 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-05 07:33 . 2009-05-28 12:44 -------- d-----w- c:\programme\Nomad Factory
2009-08-05 06:35 . 2009-05-28 03:11 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-22 20:14 . 2009-07-22 20:14 2494464 ----a-w- c:\windows\AF_Osc.dat
2009-07-15 16:44 . 2009-05-27 21:18 788488 ----a-w- c:\dokumente und einstellungen\Optimus Prime\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-15 13:40 . 2009-05-28 12:49 720896 ----a-w- c:\windows\iun6002.exe
2009-05-28 11:35 . 2009-05-28 11:35 1868 ----a-w- c:\programme\uninstal.log
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2006-05-03 09:06 . 2009-07-29 14:54 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-07-29 14:54 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-07-29 14:54 216064 --sh--r- c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-09-30_20.58.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-28 05:34 . 2009-10-02 07:38 88589 c:\windows\system32\Macromed\Flash\uninstall_activeX.exe
+ 2009-07-18 03:12 . 2009-07-18 03:12 257440 c:\windows\system32\Macromed\Flash\FlashUtil10c.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2009-02-21 4333568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-22 385024]
" Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-04-30 1657376]
"DeltTray"="DeltTray.exe" - c:\windows\system32\delttray.exe [2004-08-26 56320]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"Midi1"=mstud-2int.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Dokumente und Einstellungen\\Optimus Prime\\Desktop\\CryptLoad_1.1.6\\RouterClient.exe"=
"c:\\Dokumente und Einstellungen\\Optimus Prime\\Desktop\\CryptLoad_1.1.6\\CryptLoad.exe"=
"c:\\Dokumente und Einstellungen\\Optimus Prime\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.05.2009 07:35 108289]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [02.07.2009 12:46 604416]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [28.05.2009 08:17 33792]
R3 MIDUSB;Driver for MidiStuio-2;c:\windows\system32\drivers\mstud-2drv.sys [28.05.2009 08:49 17920]
S3 DELTAII;Service for M-Audio Delta Driver (WDM);c:\windows\system32\DRIVERS\deltaII.sys --> c:\windows\system32\DRIVERS\deltaII.sys [?]
S3 MagixASIODrv;MAGIX_ASIO_BoostDriver;e:\music programme\samplitude 9\mxasio.sys [15.08.2009 22:19 4899]
S3 MusCAudio;MusCAudio;c:\windows\system32\drivers\MusCAudio.sys [28.06.2009 17:39 23096]
S3 MusCVideo;MusCVideo;c:\windows\system32\drivers\MusCVideo.sys [28.06.2009 17:39 3768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-10-03 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-04-27 12:39]

2009-10-03 c:\windows\Tasks\User_Feed_Synchronization-{F874206D-C7C7-444B-88BB-4907B79F8EFE}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} - hxxp://lads.myspace.com/upload/MySpaceUploader2.cab
FF - ProfilePath - c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\Mozilla\Firefox\Profiles\t73mwjjf.default\
FF - plugin: c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\Mozilla\Firefox\Profiles\t73mwjjf.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-10-03 17:41
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"AB141C35E9F4BF344B9FC010BB17F68A"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{53C141BA-4F9E-43FB-B4F9-0C01BB716FA8}\\Registered"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(704)
c:\windows\system32\mstud-2int.cpl

- - - - - - - > 'lsass.exe'(760)
c:\windows\system32\mstud-2int.cpl

- - - - - - - > 'explorer.exe'(3672)
c:\windows\system32\mstud-2int.cpl
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-10-03 17:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-10-03 15:43
ComboFix2.txt 2009-09-30 20:58

Vor Suchlauf: 9 Verzeichnis(se), 38.502.301.696 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 38.590.480.384 Bytes frei

199


NR: 2


;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-10-03 19:06:06
PROTECTIONS: 1
MALWARE: 17
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir Desktop 9.0.1.32 No Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Optimus Prime\Cookies\optimus_prime@doubleclick[3].txt
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Optimus Prime\Cookies\optimus_prime@doubleclick[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Optimus Prime\Cookies\optimus_prime@atdmt[1].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Optimus Prime\Cookies\optimus_prime@tradedoubler[2].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Optimus Prime\Cookies\optimus_prime@mediaplex[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Optimus Prime\Cookies\optimus_prime@ad.yieldmanager[2].txt
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Optimus Prime\Cookies\optimus_prime@apmebf[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Optimus Prime\Cookies\optimus_prime@serving-sys[1].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Optimus Prime\Cookies\optimus_prime@bs.serving-sys[1].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Optimus Prime\Cookies\optimus_prime@adtech[1].txt
00376343 Bck/Amitis.J Virus/Trojan No 0 Yes No E:\System Volume Information\_restore{848F949F-D61E-4087-B916-A3D122C3BFAC}\RP99\A0017154.EXE
00376343 Bck/Amitis.J Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{848F949F-D61E-4087-B916-A3D122C3BFAC}\RP99\A0017142.EXE
00376343 Bck/Amitis.J Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{848F949F-D61E-4087-B916-A3D122C3BFAC}\RP99\A0017141.exe
00376343 Bck/Amitis.J Virus/Trojan No 0 Yes No F:\System Volume Information\_restore{848F949F-D61E-4087-B916-A3D122C3BFAC}\RP99\A0017155.EXE
02475967 Generic Malware Virus/Trojan No 0 No No C:\System Volume Information\_restore{848F949F-D61E-4087-B916-A3D122C3BFAC}\RP73\A0011365.exe[Doctor Sypyware.exe]
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{848F949F-D61E-4087-B916-A3D122C3BFAC}\RP101\A0017553.sys
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\uda.exe.vir
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{848F949F-D61E-4087-B916-A3D122C3BFAC}\RP101\A0017547.exe
03429845 Bck/Hupigon.AZG Virus/Trojan No 1 Yes No C:\Programme\Image-Line\Toxic Biohazard\Toxic Biohazard.dll
03738741 Generic Malware Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\Optimus Prime\Desktop\CryptLoad_1.1.6\ocr\netload.in\asmCaptcha\test.exe
03858877 Bck/Hupigon.AZG Virus/Trojan No 1 Yes No E:\Music Programme\Image-Line\FL Studio 8\Plugins\Fruity\Generators\Toxic Biohazard\Toxic Biohazard.dll
03971848 W32/Autorun.AKO.worm Virus/Worm No 1 Yes No C:\System Volume Information\_restore{848F949F-D61E-4087-B916-A3D122C3BFAC}\RP100\A0017250.inf
03971848 W32/Autorun.AKO.worm Virus/Worm No 1 Yes No E:\System Volume Information\_restore{848F949F-D61E-4087-B916-A3D122C3BFAC}\RP100\A0017254.inf
03971848 W32/Autorun.AKO.worm Virus/Worm No 1 Yes No C:\Qoobox\Quarantine\F\autorun.inf.vir
03971848 W32/Autorun.AKO.worm Virus/Worm No 1 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\autorun.inf.vir
03971848 W32/Autorun.AKO.worm Virus/Worm No 1 Yes No F:\System Volume Information\_restore{848F949F-D61E-4087-B916-A3D122C3BFAC}\RP100\A0017255.inf
03971848 W32/Autorun.AKO.worm Virus/Worm No 1 Yes No C:\Qoobox\Quarantine\E\autorun.inf.vir
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
212494 HIGH MS09-042
212493 HIGH MS09-041
212490 HIGH MS09-038
212530 HIGH MS09-034
211784 HIGH MS09-032
211781 HIGH MS09-029
210625 HIGH MS09-026
210624 HIGH MS09-025
210621 HIGH MS09-022
210618 HIGH MS09-019
208380 HIGH MS09-015
208378 HIGH MS09-013
208377 HIGH MS09-012
206981 HIGH MS09-007
206980 HIGH MS09-006
204670 HIGH MS09-001
203505 HIGH MS08-071
202465 HIGH MS08-068
201683 HIGH MS08-067
201258 HIGH MS08-066
201256 HIGH MS08-064
201255 HIGH MS08-063
201253 HIGH MS08-061
209275 HIGH MS08-049
196455 MEDIUM MS08-037
194862 HIGH MS08-032
194860 HIGH MS08-030
;===================================================================================================================================================== ==============================


so alles hinbekommen...lg


Alt 03.10.2009, 18:19   #21
john.doe
 
WORM/VB.BV.4 --- odbcasvc.exe - Standard

WORM/VB.BV.4 --- odbcasvc.exe


Hast du die Benachrichtigung über Windowsupdates abgeschaltet?

Lade die Datei
Zitat:
C:\Programme\Image-Line\Toxic Biohazard\Toxic Biohazard.dll
bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html (nur Schritt 2)

Hoffen wir, dass das eine Falschmeldung ist.

ciao, andreas
__________________
--> WORM/VB.BV.4 --- odbcasvc.exe

Alt 03.10.2009, 18:39   #22
dkrocfam
 
WORM/VB.BV.4 --- odbcasvc.exe - Standard

WORM/VB.BV.4 --- odbcasvc.exe


ok habe hochgeladen.... oh oh hört sich ja nicht so gut an

Alt 03.10.2009, 18:42   #23
john.doe
 
WORM/VB.BV.4 --- odbcasvc.exe - Standard

WORM/VB.BV.4 --- odbcasvc.exe


Hast du die Benachrichtigung über Windowsupdates abgeschaltet?

Der Upload hat nicht geklappt. Benenne die Datei vor dem Hochladen um in abc.exe.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 03.10.2009, 18:44   #24
dkrocfam
 
WORM/VB.BV.4 --- odbcasvc.exe - Standard

WORM/VB.BV.4 --- odbcasvc.exe


jo also windows updates sind generell ausgeschaltet...

ps habs nochmal hochgeladen

Alt 03.10.2009, 18:45   #25
john.doe
 
WORM/VB.BV.4 --- odbcasvc.exe - Standard

WORM/VB.BV.4 --- odbcasvc.exe


Hätte auch der Schädling gewesen sein können, deshalb frage ich nach.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\Programme\Image-Line\Toxic Biohazard\Toxic Biohazard.dll
ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 03.10.2009, 18:47   #26
dkrocfam
 
WORM/VB.BV.4 --- odbcasvc.exe - Standard

WORM/VB.BV.4 --- odbcasvc.exe


achso ok. Ne habs generell einfach aus. Also ist beabsichtigt.

lg


datei wieder zurück bennenen oder ist egal?
Geändert von dkrocfam (03.10.2009 um 18:53 Uhr)

Alt 03.10.2009, 19:00   #27
dkrocfam
 
WORM/VB.BV.4 --- odbcasvc.exe - Standard

WORM/VB.BV.4 --- odbcasvc.exe


habs uns mal etwas einfacher gemacht



Alt 03.10.2009, 19:08   #28
john.doe
 
WORM/VB.BV.4 --- odbcasvc.exe - Standard

WORM/VB.BV.4 --- odbcasvc.exe


Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
KILLALL::

File::
C:\Programme\Image-Line\Toxic Biohazard\abc.exe
E:\Music Programme\Image-Line\FL Studio 8\Plugins\Fruity\Generators\Toxic Biohazard\Toxic Biohazard.dll
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!

  • Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 03.10.2009, 19:19   #29
dkrocfam
 
WORM/VB.BV.4 --- odbcasvc.exe - Standard

WORM/VB.BV.4 --- odbcasvc.exe


ComboFix 09-10-01.05 - Optimus Prime 03.10.2009 20:13.3.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3327.2827 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Optimus Prime\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Optimus Prime\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\programme\Image-Line\Toxic Biohazard\abc.exe"
"e:\music programme\Image-Line\FL Studio 8\Plugins\Fruity\Generators\Toxic Biohazard\Toxic Biohazard.dll"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Image-Line\Toxic Biohazard\abc.exe
e:\music programme\Image-Line\FL Studio 8\Plugins\Fruity\Generators\Toxic Biohazard\Toxic Biohazard.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-09-03 bis 2009-10-03 ))))))))))))))))))))))))))))))
.

2009-10-03 15:45 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-10-03 15:45 . 2009-10-03 15:45 -------- d-----w- c:\programme\Panda Security
2009-10-03 15:45 . 2009-10-03 15:45 -------- d-----w- c:\windows\LastGood.Tmp
2009-10-03 15:37 . 2009-10-03 15:43 -------- d-----w- C:\cofi16957c
2009-10-01 18:35 . 2009-10-01 18:35 -------- d-----w- c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\U3
2009-09-30 20:54 . 2009-09-30 20:58 -------- d-----w- C:\cofi
2009-09-30 15:48 . 2009-09-30 15:48 -------- d-----w- c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\Malwarebytes
2009-09-30 15:48 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-30 15:48 . 2009-09-30 15:48 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-09-30 15:48 . 2009-09-30 15:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-30 15:48 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-30 14:43 . 2009-09-30 14:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-09-30 14:43 . 2009-09-30 14:43 -------- d-----w- c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\Yahoo!
2009-09-30 14:43 . 2009-09-30 14:43 -------- d-----w- c:\programme\Yahoo!
2009-09-30 14:43 . 2009-09-30 14:43 -------- d-----w- c:\programme\CCleaner
2009-09-30 14:32 . 2009-09-30 14:32 -------- d-----w- c:\programme\Trend Micro
2009-09-16 20:10 . 2009-09-16 20:10 -------- d-----w- c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\TeamViewer
2009-09-16 20:09 . 2009-09-16 20:09 -------- d-----w- c:\dokumente und einstellungen\Optimus Prime\temp
2009-09-16 06:45 . 2009-09-16 06:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan
2009-09-16 06:44 . 2009-09-16 06:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-09-16 06:44 . 2009-09-16 06:44 -------- d-----w- c:\programme\NOS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-22 11:06 . 2009-07-08 18:48 -------- d-----w- c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\vlc
2009-09-14 11:56 . 2009-07-23 11:37 8 ----a-w- c:\windows\system32\nvModes.dat
2009-08-18 20:36 . 2009-05-28 05:47 -------- d-----w- c:\programme\Winamp
2009-08-15 20:31 . 2009-05-28 12:26 48 ----a-w- c:\windows\msocreg32.dat
2009-08-15 20:21 . 2009-05-28 11:32 -------- d-----w- c:\programme\Music
2009-08-09 15:47 . 2009-08-09 15:47 -------- d-----w- c:\programme\G-Sonique
2009-08-09 14:23 . 2009-08-05 07:24 -------- d-----w- c:\programme\Gemeinsame Dateien\Native Instruments
2009-08-09 14:23 . 2009-08-05 07:17 -------- d-----w- c:\programme\Native Instruments
2009-08-09 14:19 . 2009-06-07 14:12 -------- d-----w- c:\programme\Common Files
2009-08-06 06:39 . 2009-05-28 05:35 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-05 07:33 . 2009-05-28 12:44 -------- d-----w- c:\programme\Nomad Factory
2009-08-05 06:35 . 2009-05-28 03:11 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-07-22 20:14 . 2009-07-22 20:14 2494464 ----a-w- c:\windows\AF_Osc.dat
2009-07-15 16:44 . 2009-05-27 21:18 788488 ----a-w- c:\dokumente und einstellungen\Optimus Prime\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-15 13:40 . 2009-05-28 12:49 720896 ----a-w- c:\windows\iun6002.exe
2009-05-28 11:35 . 2009-05-28 11:35 1868 ----a-w- c:\programme\uninstal.log
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2006-05-03 09:06 . 2009-07-29 14:54 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-07-29 14:54 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-07-29 14:54 216064 --sh--r- c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-09-30_20.58.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-28 05:34 . 2009-10-02 07:38 88589 c:\windows\system32\Macromed\Flash\uninstall_activeX.exe
+ 2009-07-18 03:12 . 2009-07-18 03:12 257440 c:\windows\system32\Macromed\Flash\FlashUtil10c.exe
+ 2009-08-04 12:06 . 2009-08-04 12:06 132352 c:\windows\Downloaded Program Files\as2stubie.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2009-02-21 4333568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-22 385024]
" Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-04-30 1657376]
"DeltTray"="DeltTray.exe" - c:\windows\system32\delttray.exe [2004-08-26 56320]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"Midi1"=mstud-2int.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Dokumente und Einstellungen\\Optimus Prime\\Desktop\\CryptLoad_1.1.6\\RouterClient.exe"=
"c:\\Dokumente und Einstellungen\\Optimus Prime\\Desktop\\CryptLoad_1.1.6\\CryptLoad.exe"=
"c:\\Dokumente und Einstellungen\\Optimus Prime\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [03.10.2009 17:45 28544]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [28.05.2009 07:35 108289]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [02.07.2009 12:46 604416]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [28.05.2009 08:17 33792]
R3 MIDUSB;Driver for MidiStuio-2;c:\windows\system32\drivers\mstud-2drv.sys [28.05.2009 08:49 17920]
S3 DELTAII;Service for M-Audio Delta Driver (WDM);c:\windows\system32\DRIVERS\deltaII.sys --> c:\windows\system32\DRIVERS\deltaII.sys [?]
S3 MagixASIODrv;MAGIX_ASIO_BoostDriver;e:\music programme\samplitude 9\mxasio.sys [15.08.2009 22:19 4899]
S3 MusCAudio;MusCAudio;c:\windows\system32\drivers\MusCAudio.sys [28.06.2009 17:39 23096]
S3 MusCVideo;MusCVideo;c:\windows\system32\drivers\MusCVideo.sys [28.06.2009 17:39 3768]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - PAVBOOT

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-10-03 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2009-04-27 12:39]

2009-10-03 c:\windows\Tasks\User_Feed_Synchronization-{F874206D-C7C7-444B-88BB-4907B79F8EFE}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} - hxxp://lads.myspace.com/upload/MySpaceUploader2.cab
FF - ProfilePath - c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\Mozilla\Firefox\Profiles\t73mwjjf.default\
FF - plugin: c:\dokumente und einstellungen\Optimus Prime\Anwendungsdaten\Mozilla\Firefox\Profiles\t73mwjjf.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-10-03 20:16
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"AB141C35E9F4BF344B9FC010BB17F68A"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{53C141BA-4F9E-43FB-B4F9-0C01BB716FA8}\\Registered"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(704)
c:\windows\system32\mstud-2int.cpl

- - - - - - - > 'lsass.exe'(760)
c:\windows\system32\mstud-2int.cpl

- - - - - - - > 'explorer.exe'(3632)
c:\windows\system32\mstud-2int.cpl
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-10-03 20:18 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-10-03 18:18
ComboFix2.txt 2009-10-03 15:43
ComboFix3.txt 2009-09-30 20:58

Vor Suchlauf: 9 Verzeichnis(se), 38.470.729.728 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 38.443.536.384 Bytes frei

196

Alt 03.10.2009, 19:27   #30
john.doe
 
WORM/VB.BV.4 --- odbcasvc.exe - Standard

WORM/VB.BV.4 --- odbcasvc.exe


Hupigon ist ein Backdoor, d.h. jemand hatte Zugriff auf deinen Rechner. Ich weiß jetzt nicht, ob du überhaupt noch weitermachen möchtest oder lieber neuaufsetzt. Wo hast du dieses Spiel her?

Ändere sicherheitshalber alle deine Kennwörter.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort
Seite 2 von 3 1 2 3

Themen zu WORM/VB.BV.4 --- odbcasvc.exe
adobe, antivir, antivir guard, avg, avira, bho, bonjour, computer, desktop, dll, explorer, festplatte, format, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, neustart, nicht sicher, nvidia, programme, rundll, software, system, tuneup.defrag, usb-stick, virusprogramm, windows, windows xp


« Firefox stürtzt beim Start ab, Defender schickt Trojaner fakes | Trojanerbefall TR/Riern.A.12 (.. 14 .. 20) »


Ähnliche Themen: WORM/VB.BV.4 --- odbcasvc.exe


  1. AVG AV 2013 meldet Worm/VB.DYC, Worm/VB.DYA, Trojaner: Dropper.Generic.TEL im Verzeichniss \\WUALA_BY_LACIE\...\RECYCLED\...
    Plagegeister aller Art und deren Bekämpfung - 11.04.2013 (9)
  2. WORM/Kido.IX und WORM/Confick.164228 auf externer Festplatte
    Log-Analyse und Auswertung - 03.06.2012 (16)
  3. TR/Jorik.SpyEyes.In und odbcasvc.EXE
    Log-Analyse und Auswertung - 12.07.2011 (9)
  4. Virusbefall Worm/Downadup, Worm/Generic_c.ZS, Verbeitung mit autorun.inf auf Wechselmedien
    Log-Analyse und Auswertung - 28.06.2011 (44)
  5. "WORM/Conficker.AK" & "WORM/Kido.IH.40" nach USB-Stick-Anschluss durch AVIRA gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.01.2011 (28)
  6. Worm.Zimuse.A / Worm.Zimuse.Gen entfernen
    Anleitungen, FAQs & Links - 06.02.2010 (2)
  7. WORM/Kido.IH.40 [worm] und TR/Trash.Gen [trojan]
    Plagegeister aller Art und deren Bekämpfung - 02.09.2009 (16)
  8. WORM/Autorun.tca und WORM/TRL.A
    Log-Analyse und Auswertung - 04.12.2008 (0)
  9. Worm ?
    Log-Analyse und Auswertung - 16.09.2008 (7)
  10. Wurmbefall Worm ICRBot 54784.12 oder W32/WHIPSER-B WORM
    Log-Analyse und Auswertung - 22.06.2008 (7)
  11. worm vs. worm beschimpfungen
    Diskussionsforum - 26.03.2008 (2)
  12. netsta.exe -> WORM/IRCBot.1195026 bzw. Worm.Gaobot
    Plagegeister aller Art und deren Bekämpfung - 21.01.2008 (5)
  13. Hilfe, bekomme Worm/SdDrop.P2P.B.1 und Worm/RBot nicht weg
    Log-Analyse und Auswertung - 25.11.2005 (3)
  14. Worm/Rbot-AEu & Worm/Rbot-AFC Hilfe
    Mülltonne - 12.10.2005 (1)
  15. Worm Rbot 67393 / Worm Sdbot 42496
    Plagegeister aller Art und deren Bekämpfung - 08.08.2005 (5)
  16. Worm/RBot.GJ und Worm/PeyBot.A und vielleicht noch mehr. Wer kann helfen?!!!!?
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (12)
  17. W32/Slanper.worm und W32/Warpi.worm.gen
    Plagegeister aller Art und deren Bekämpfung - 27.07.2003 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema WORM/VB.BV.4 --- odbcasvc.exe - soo habs doch noch hinbekommen... kann jetz auch wieder auf alle festplatten zugreifen.. hat sich das problem damit behoben? jetz hab ich zB noch einen Ordner auf E und F - WORM/VB.BV.4 --- odbcasvc.exe...
Archiv
Du betrachtest: WORM/VB.BV.4 --- odbcasvc.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55