Trojaner TR/PSW.Wow.uml in xml_inc.dll

96p · 03.11.2009, 13:01

Hallo zusammen,

Heute morgen hat mein Antivir mir eine Warnung ausgespuckt das mein PC durch den Trojaner TR/PSW.Wow.uml in der Datei xml_inc.dll infiziert ist. Da es Antivir nicht möglich war den Virus zu löschen habe ich Windows im abgesicherten Modus gestartet und die Datei von Hand gelöscht, bin mir jetzt aber nicht sicher ob das ausreicht.
Bei 2 aufeinanderfolgenden kompletten Systemprüfungen hat Antivir nichts mehr gefunden.

Hier das HJT Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:51:32, on 03.11.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe
C:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe
C:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe
C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\DNA\btdna.exe
C:\ICQ6.5\ICQ.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Mozilla Firefox\firefox.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\program files\avira\antivir desktop\avcenter.exe
C:\Users\Martin\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=91&bd=Pavilion&pf=cnnb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=91&bd=Pavilion&pf=cnnb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=91&bd=Pavilion&pf=cnnb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=91&bd=Pavilion&pf=cnnb
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [DVDAgent] "C:\Program Files\Hewlett-Packard\Media\DVD\DVDAgent.exe"
O4 - HKLM\..\Run: [TSMAgent] "C:\Program Files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe"
O4 - HKLM\..\Run: [CLMLServer for HP TouchSmart] "C:\Program Files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe"
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\Hewlett-Packard\Media\Webcam" update "Software\Hewlett-Packard\Media\Webcam"
O4 - HKLM\..\Run: [SmartMenu] %ProgramFiles%\Hewlett-Packard\HP MediaSmart\SmartMenu.exe
O4 - HKLM\..\Run: [UpdatePSTShortCut] "C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [MS_MASTER] RUNDLL32.EXE C:\Users\Martin\AppData\Local\Temp\xml_inc.dll,i
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autorun=AUTORUN
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [ICQ] "C:\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [MS_MASTER] RUNDLL32.EXE C:\Users\Martin\AppData\Local\Temp\xml_inc.dll,i
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4A55884-B978-4705-BC7C-9047C316C7B4}: NameServer = 192.168.2.1,192.168.2.160
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_805f33de\aestsrv.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Norton Internet Security - Unknown owner - C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Recovery Service for Windows - Unknown owner - C:\Program Files\SMINST\BLService.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_805f33de\STacSV.exe
O23 - Service: Cisco AnyConnect VPN Agent (vpnagent) - Cisco Systems, Inc. - C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe

--
End of file - 9571 bytes

Würde mich über Hilfe freuen

Grüsse
Martin

cosinus · 03.11.2009, 19:41

Hallo und

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst auch einfach den Ergebnislink posten:

Code:

ATTFilter

C:\Users\Martin\AppData\Local\Temp\xml_inc.dll

Danach mal diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

96p · 06.11.2009, 19:38

So, besser spät als nie hab ich die Liste mal abgearbeitet

Die Datei kann ich leider nicht prüfen da ich sie bereits gelöscht hatte bevor ich hier gepostet habe.

CCleaner: check

Anti-Malware: check ohne auch nur einen einzigen Fund

RSIT: check

Logs: http://www.file-upload.net/download-1994058/Trojaner-Board.txt.html

ich hoffe die infos genügen

Grüsse
Martin

cosinus · 14.11.2009, 16:51

Hallo,

hab Deinen Strang leider übersehen/vergessen. Mach mal bitte einen Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

96p · 15.11.2009, 11:31

Ok gemacht wie gewünscht, ohne Probleme

ComboFix 09-11-15.01 - Martin 15.11.2009 11:13..2 - FAT32x86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.3038.2126 [GMT 1:00]
ausgeführt von:: c:\users\Martin\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-2051138998-3889235223-1264950889-500
c:\$recycle.bin\S-1-5-21-2053507766-1637002552-2718035129-500

.
((((((((((((((((((((((( Dateien erstellt von 2009-10-15 bis 2009-11-15 ))))))))))))))))))))))))))))))
.

2009-11-14 00:22 . 2009-11-14 00:22 2395944 ----a-w- c:\windows\system32\pbsvc_heroes.exe
2009-11-06 18:08 . 2009-11-06 18:08 -------- d-----w- C:\rsit
2009-11-06 11:18 . 2009-11-06 11:18 -------- d-----w- c:\users\Martin\AppData\Roaming\Malwarebytes
2009-11-06 11:18 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-06 11:18 . 2009-11-06 11:18 4096 d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-11-06 11:18 . 2009-11-06 11:18 -------- d-----w- c:\programdata\Malwarebytes
2009-11-06 11:18 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-06 10:39 . 2009-11-06 10:39 -------- d-----w- c:\program files\CCleaner
2009-11-03 13:04 . 2009-11-03 13:04 -------- d-----w- c:\users\Martin\AppData\Roaming\Panda Security
2009-11-03 13:03 . 2009-11-03 13:03 245 ----a-w- c:\windows\system32\PSUNCpl.dat
2009-11-03 13:03 . 2009-11-03 13:03 -------- d-----w- c:\programdata\Panda Security
2009-11-03 13:03 . 2009-11-03 13:03 -------- d-----w- c:\program files\Panda Security
2009-10-31 13:09 . 2004-03-22 15:17 24816 ----a-w- c:\windows\system32\mdimon.dll
2009-10-31 13:06 . 2009-10-31 13:06 -------- d-----w- c:\windows\PCHEALTH
2009-10-31 13:06 . 2009-10-31 13:06 -------- d-----w- c:\program files\Microsoft.NET
2009-10-23 08:28 . 2009-10-23 08:28 -------- d-----w- c:\users\yfl\LOCALS~1
2009-10-23 08:28 . 2009-10-23 08:28 -------- d-----w- c:\users\yfl
2009-10-23 08:11 . 2009-10-24 09:03 16384 d-----w- c:\program files\AVI to DVD Converter
2009-10-19 08:41 . 2009-11-11 18:27 8192 d-----w- c:\program files\SWKotOR2
2009-10-19 08:35 . 2009-10-19 08:35 4096 d-----w- c:\program files\DAEMON Tools Lite

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-15 10:18 . 2009-08-15 17:06 4096 d-----w- c:\users\Martin\AppData\Roaming\DNA
2009-11-15 09:53 . 2008-10-22 04:34 618442 ----a-w- c:\windows\system32\perfh007.dat
2009-11-15 09:53 . 2008-10-22 04:34 122842 ----a-w- c:\windows\system32\perfc007.dat
2009-11-15 09:48 . 2009-04-06 13:52 31966 ----a-w- c:\programdata\nvModes.dat
2009-11-15 09:48 . 2009-10-11 07:54 7592 ----a-w- c:\users\Martin\AppData\Local\d3d9caps.dat
2009-11-15 09:48 . 2009-08-15 17:06 -------- d-----w- c:\program files\DNA
2009-11-15 00:35 . 2008-10-21 19:06 12 ----a-w- c:\windows\bthservsdp.dat
2009-11-14 00:22 . 2009-07-28 15:17 138056 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-11-14 00:22 . 2009-07-28 15:17 138056 ----a-w- c:\users\Martin\AppData\Roaming\PnkBstrK.sys
2009-11-14 00:22 . 2009-07-28 15:17 138056 ----a-w- c:\users\Martin\AppData\Roaming\PnkBstrK.sys
2009-11-14 00:22 . 2009-07-28 15:17 189248 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-11-14 00:22 . 2009-07-28 15:17 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-11-14 00:22 . 2009-07-28 15:07 12288 d-----w- c:\program files\Battlefield Heroes
2009-11-06 18:53 . 2009-04-06 13:45 74800 ----a-w- c:\users\Martin\AppData\Local\GDIPFONTCACHEV1.DAT
2009-11-04 23:21 . 2009-04-09 18:05 12288 d-----w- c:\program files\World of Warcraft
2009-10-31 10:18 . 2009-09-07 09:05 1226 ----a-w- c:\users\Martin\AppData\Roaming\wklnhst.dat
2009-10-23 08:03 . 2009-07-19 16:48 -------- d-----w- c:\users\Martin\AppData\Roaming\Nero
2009-10-19 08:41 . 2008-10-21 19:44 12288 d--h--w- c:\program files\InstallShield Installation Information
2009-10-17 10:17 . 2009-09-07 21:03 4096 d-----w- c:\program files\Aion
2009-10-14 15:22 . 2009-10-14 15:22 -------- d-----w- c:\program files\Common Files\BioWare
2009-10-14 15:19 . 2009-10-14 15:18 4096 d-----w- c:\program files\Dragon Age Origins Character Creator
2009-09-27 19:42 . 2008-10-21 20:36 4096 d-----w- c:\programdata\CyberLink
2009-09-27 19:41 . 2009-09-27 19:41 -------- d-----w- c:\users\Martin\AppData\Roaming\dvdcss
2009-09-18 17:08 . 2009-09-15 18:47 4096 d-----w- c:\program files\Crime Fighter
2009-09-18 15:41 . 2009-04-07 21:12 -------- d-----w- c:\users\Martin\AppData\Roaming\Skype
2009-09-18 15:08 . 2009-09-18 15:08 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-09-18 15:08 . 2009-09-18 15:08 -------- d-----w- c:\users\Martin\AppData\Roaming\skypePM
2009-09-14 15:58 . 2009-09-30 18:04 1291640 ----a-w- c:\users\Martin\AppData\Roaming\Mozilla\Firefox\Profiles\e7gcrnqt.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\BFHUpdater.exe
2009-09-14 15:58 . 2009-09-30 18:04 729088 ----a-w- c:\users\Martin\AppData\Roaming\Mozilla\Firefox\Profiles\e7gcrnqt.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll
2008-10-22 04:50 . 2008-10-22 04:36 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Panda Malware Icon]
@="{F5D1CF73-C196-48F8-AAAC-B9181E22B4E6}"
[HKEY_CLASSES_ROOT\CLSID\{F5D1CF73-C196-48F8-AAAC-B9181E22B4E6}]
2009-07-09 11:17 275712 ----a-w- c:\program files\Panda Security\Panda Cloud Antivirus\PSUNShell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Panda Pending Delete Icon]
@="{0847B599-9191-4A27-BD61-DE11598D3B1B}"
[HKEY_CLASSES_ROOT\CLSID\{0847B599-9191-4A27-BD61-DE11598D3B1B}]
2009-07-09 11:17 275712 ----a-w- c:\program files\Panda Security\Panda Cloud Antivirus\PSUNShell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Panda Suspect Icon]
@="{9AE343CB-BA45-4618-AF6A-0230EE6FC793}"
[HKEY_CLASSES_ROOT\CLSID\{9AE343CB-BA45-4618-AF6A-0230EE6FC793}]
2009-07-09 11:17 275712 ----a-w- c:\program files\Panda Security\Panda Cloud Antivirus\PSUNShell.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2009-05-18 2363392]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2009-10-07 323392]
"ICQ"="c:\icq6.5\ICQ.exe" [2009-03-01 172792]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-13 13584928]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-13 92704]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1033512]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-09-11 446556]
"DVDAgent"="c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2008-09-26 1148200]
"TSMAgent"="c:\program files\Hewlett-Packard\TouchSmart\Media\TSMAgent.exe" [2008-09-25 1152296]
"CLMLServer for HP TouchSmart"="c:\program files\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe" [2008-09-25 189736]
"UCam_Menu"="c:\program files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"SmartMenu"="c:\program files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe" [2008-09-23 912688]
"UpdatePSTShortCut"="c:\program files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" [2008-09-26 210216]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-08-01 202032]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-16 75008]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
"PSUNMain"="c:\program files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" [2009-07-06 357632]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"FirewallOverride"=dword:00000001

R1 PSINKNC;PSINKNC;c:\windows\System32\drivers\PSINKNC.sys [06.07.2009 08:44 114184]
R2 {55662437-DA8C-40c0-AADA-2C816A897A49};{55662437-DA8C-40c0-AADA-2C816A897A49};c:\program files\Hewlett-Packard\Media\DVD\000.fcl [26.09.2008 02:36 59376]
R2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_805f33de\AEstSrv.exe [11.03.2009 11:59 77824]
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [21.01.2008 03:23 21504]
R2 hpsrv;HP Service;c:\windows\System32\hpservice.exe [18.03.2008 16:24 19456]
R2 NanoServiceMain;NanoServiceMain;c:\program files\Panda Security\Panda Cloud Antivirus\PSANHost.exe [06.07.2009 08:42 95488]
R2 PSINAflt;PSINAflt;c:\windows\System32\drivers\PSINAflt.sys [06.07.2009 08:44 136200]
R2 PSINFile;PSINFile;c:\windows\System32\drivers\PSINFile.sys [06.07.2009 08:44 94216]
R2 PSINProc;PSINProc;c:\windows\System32\drivers\PSINProc.sys [06.07.2009 08:44 98312]
R2 Recovery Service for Windows;Recovery Service for Windows;c:\program files\SMINST\BLService.exe [21.10.2008 21:49 365904]
R2 vpnagent;Cisco AnyConnect VPN Agent;c:\program files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe [11.12.2008 01:03 417464]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [21.10.2008 21:00 193840]
R3 enecir;ENE CIR Receiver;c:\windows\System32\drivers\enecir.sys [29.04.2008 02:54 54784]
R3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\System32\drivers\NETw5v32.sys [11.03.2009 11:52 3664384]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\System32\drivers\nvhda32v.sys [06.08.2008 04:29 44576]
S2 Norton Internet Security;Norton Internet Security;"c:\program files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe" /s "Norton Internet Security" /m "c:\program files\Norton Internet Security\Engine\16.0.0.125\diMaster.dll" /prefetch:1 --> c:\program files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe [?]
S3 JMCR;JMCR;c:\windows\System32\drivers\jmcr.sys [21.07.2008 11:53 100184]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - mbr
*Deregistered* - PROCEXP113

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\program files\Common Files\LightScribe\LSRunOnce.exe"
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=91&bd=Pavilion&pf=cnnb
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=91&bd=Pavilion&pf=cnnb
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
TCP: {B4A55884-B978-4705-BC7C-9047C316C7B4} = 192.168.2.1,192.168.2.160
FF - ProfilePath - c:\users\Martin\AppData\Roaming\Mozilla\Firefox\Profiles\e7gcrnqt.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - plugin: c:\users\Martin\AppData\Roaming\Mozilla\Firefox\Profiles\e7gcrnqt.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\npBFHUpdater.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-PlayNC Launcher - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2009-11-15 11:23
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys hpdskflt.sys hal.dll sfsync02.sys >>UNKNOWN [0x858031F8]<<
kernel: MBR read successfully
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Norton Internet Security]
"ImagePath"="\"c:\program files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\program files\Norton Internet Security\Engine\16.0.0.125\diMaster.dll\" /prefetch:1"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{55662437-DA8C-40c0-AADA-2C816A897A49}]
"ImagePath"="\??\c:\program files\Hewlett-Packard\Media\DVD\000.fcl"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'Explorer.exe'(5164)
c:\program files\Panda Security\Panda Cloud Antivirus\PSUNShell.dll
.
Zeit der Fertigstellung: 2009-11-15 11:25
ComboFix-quarantined-files.txt 2009-11-15 10:25

Vor Suchlauf: 15 Verzeichnis(se), 288.089.714.688 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 288.031.277.056 Bytes frei

- - End Of File - - CCD1C7FE72B92FA3B10855A5346B13EC

Gruss
Martin

96p · 15.11.2009, 14:07

mir ist grade beim nochmal durchlesen aufgefallen, dass ich die cofi.exe nicht umbenannt habe, ist das ein Problem ?

cosinus · 16.11.2009, 10:37

Ja!! Bitte die alte combofix löschen, neu herunterladen und beim Herunterladen (streng nach Anleitung) in cofi umbenennen, danach ein neuer Durchlauf.

96p · 16.11.2009, 13:40

leider hängt es sich immer wieder auf, musste auch schon einmal die systemwiederherstellung nutzen

Bug log:

CD /D C:\32788R22FWJFW

SET "Comspec=C:\32788R22FWJFW\cmd.cfxxe"

IF NOT EXIST C:\Windows\system32\cmd.exe GOTO Not_NT

VER 1>OsVer

GREP.cfxxe -F "5.1.2" OsVer 1>XP.mac

IF 1 == 0 GOTO NT

DEL XP.mac

GREP.cfxxe -F "6.0.6" OsVer 1>Vista.mac

IF 0 == 0 GOTO NT

GREP.cfxxe -isq "ProductType.*WinNT" WinNT00 || GOTO Not_NT

Error: Key: system\currentcontrolset\control\safeboot\option does not exist!

IF NOT EXIST NircmdB.exe COPY /Y Nircmd.cfxxe NircmdB.exe 1>N_\2581 2>&1

PEV UZIP License\pv_5_2_2.zip .\

MOVE /Y PV.exe PV.cfxxe 1>N_\19458 2>&1

IF NOT EXIST PEV.cfxxe COPY /Y PEV.exe PEV.cfxxe 1>N_\9688 2>&1
C:\32788R22FWJFW\temp0* konnte nicht gefunden werden

PEV -outputtemp00 -rtf -c:##5# .\* and { License.exe or 32788R22FWJFW.exe or OsVer.exe or WinNT.exe or N_.exe } && (
PV -o%f * 1>temp01
PEV -tf -t!o -files:temp01 -c:##5#b#f# -output:temp02
GREP -Fif temp00 temp02 1>temp03
SED "/.* /!d; s///" temp03 1>temp04
SED ":a; $!N; s/\n/\x22 \x22/; ta; s/.*/\x22&\x22/" temp04 1>temp05
FOR /F "TOKENS=*" %G IN (temp05) DO @NIRCMD KILLPROCESS %G
)
Aktive Codepage: 1252.
C:\32788R22FWJFW\AbortB konnte nicht gefunden werden

CALL :MDCheck

PEV -rtf -md5BA466D165CB9190337C4F45276CBA15B .\md5sum.pif || CALL :MDFaiL ChkSum_Fail
.\md5sum.pif

PEV -tf -files:files.pif -c:##5#b#f# -output:mdCheck00.dat

GREP -vs "^!MD5:" mdCheck00.dat 1>mdCheck0a.dat

GREP -Fvf md5sum.pif mdCheck0a.dat 1>mdCheck01.dat && CALL :MDFaiL

GOTO :EOF

=============================================

ALLUSERSPROFILE=C:\ProgramData
APPDATA=C:\Users\Martin\AppData\Roaming
cfExt=cfxxe
CLASSPATH=.;C:\Program Files\Java\jre1.6.0_07\lib\ext\QTJava.zip
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=HP-PAVILIONDV7
ComSpec=C:\32788R22FWJFW\cmd.cfxxe
DFSTRACINGON=FALSE
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Users\Martin
LOCALAPPDATA=C:\Users\Martin\AppData\Local
LOGONSERVER=\\HP-PAVILIONDV7
NUMBER_OF_PROCESSORS=2
OnlineServices=Online Services
OS=Windows_NT
Path=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Program Files\CyberLink\Power2Go;C:\Program Files\Common Files\DivX Shared\;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\IsoBuster
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
PCBRAND=Pavilion
Platform=MCD
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 23 Stepping 6, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=1706
ProgramData=C:\ProgramData
ProgramFiles=C:\Program Files
PROMPT=$
PUBLIC=C:\Users\Public
QTJAVA=C:\Program Files\Java\jre1.6.0_07\lib\ext\QTJava.zip
SESSIONNAME=Console
sfxcmd="C:\Users\Martin\Desktop\cofi.exe"
sfxname=C:\Users\Martin\Desktop\cofi.exe
SystemDrive=C:
SystemRoot=C:\Windows
TEMP=C:\Users\Martin\AppData\Local\Temp
TMP=C:\Users\Martin\AppData\Local\Temp
TRACE_FORMAT_SEARCH_PATH=\\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
USERDOMAIN=HP-Paviliondv7
USERNAME=Martin
USERPROFILE=C:\Users\Martin
windir=C:\Windows

=============================================

IF NOT DEFINED sfxname GOTO END

GREP -F \ temp01 && CALL :Aux

GREP -Fi "C:\Windows\system32\userinit.exe" Userinit00 || SWREG ADD "hklm\software\microsoft\windows nt\currentversion\winlogon" /v Userinit /d "C:\Windows\system32\userinit.exe,"
Userinit REG_SZ C:\Windows\system32\userinit.exe,

SET SfxCmd 1>SET00

SED -r "/SfxCmd=/I!d; s///; s/\s*$//; s/^(\x22[^\x22]*\x22|[^\x22]\S*) +//; s/^\x22*C:\\Users\\Martin\\Desktop\\cofi.exe\x22*//I; s/^([^\x22]\S*)/@SET SfxCmd=\x22\1\x22/; s/^(\x22.*)/@SET SfxCmd=\1/" SET00 1>sfx.cmd

DEL /A/F SET00

ECHO."C:\Users\Martin\Desktop\cofi.exe"1>MSName00

GREP -Ei "\$wscntfy|winlogon|wininit|nvsvc|lsm|lsass|iexplore|svchost|spoolsv|smss|slsvc|services|explorer|ctfmon|csrss|alg)\.....$" MSName00 && (
CALL :MSNAME "C:\Users\Martin\Desktop\cofi.exe"
CALL MsName.bat
)

ATTRIB +R "C:\Users\Martin\Desktop\cofi.exe"

CALL sfx.cmd

CALL AV.cmd

SET /a AVCount+=1

NIRCMD EXEC HIDE PV -d9000 -kf CSCRIPT.EXE

CSCRIPT.exe //NOLOGO //E:VBSCRIPT //B //T:08 av.vbs

PV -kf CSCRIPT.exe PV.*
Killing 'CSCRIPT.exe'
Killing 'PV.*'

IF NOT EXIST AvBlack00 GREP -Fsf AVBlack resident.txt 1>AvBlack00 && (
SED -r "s/\x22//g; s/.*$ //; s/.*(\{.{8}-.{4}-.{4}-.{4}-.{12}\}).*/\1/" AvBlack00 1>AvBlack01
FOR /F "TOKENS=*" %G IN (AvBlack01) DO @CSCRIPT.EXE //NOLOGO //E:VBSCRIPT //T:5 wmi_rem.vbs "%~G"
NIRCMD EXEC HIDE PV -d6000 -kf CSCRIPT.EXE
CSCRIPT.exe //NOLOGO //E:VBSCRIPT //B //T:08 av.vbs
PV -kf CSCRIPT.exe PV.*
)

GREP -Fivf AVWhite resident.txt | GREP -E "^(AV|SP): .*enabled\* \(" 1>AVChk && (
SED -r "s/^AV:/antivirus: /; s/^SP:/antispyware: /; s/ \*(On-access scanning |)enabled\*.*//" AVChk | SED ":a; $!N;s/\n/~n/;ta" 1>AVChkB
NIRCMD LOOP 2 80 BEEP 3000 200
IF 1 LEQ 1 FOR /F "TOKENS=*" %G IN (AVChkB) DO @NIRCMD INFOBOX "ComboFix hat festgestellt das folgende Real-Time-Scanner aktiv sind:~n~n%G~n~nAntivirus und Eindringling Schutzprogramme sind dafuer bekannt,~ndass sie die Arbeit von ComboFix behindern. Dies kann zu~nunvorhersehbaren Ergebnissen oder eventuellen. PC Schaden fuehren.~n Bitte deaktiviere diese Scanner, bevor Du auf 'OK' klickst." "Achtung !!" "" && GOTO Av-check
IF 1 GTR 1 FOR /F "TOKENS=*" %G IN (AVChkB) DO @NIRCMD INFOBOX "%G~n~nDie obigen Real-Time-Scanner sind immer noch aktiv aber ComboFix~nwird trotzdem mit dem Suchlauf fortfahren. Bitte nehme zur Kenntnis,~ndas dies in eigener Verantwortung geschieht" "Achtung !!" ""
)

DEL /A/F/Q AVChk? AvWhite AvBlack AvBlack0?

SET AVCount=

GREP -Fx "REGEDIT4" Fin.dat || (
ECHO.1>"C:\Users\Martin\AppData\Local\Temp\tdsstdss"
PEV -output:temp00 -rtf "C:\Users\Martin\AppData\Local\Temp\tdsstdss" || (
ECHO.1>wtf_tdssserv
CALL c.bat
GOTO END
)

GOTO AbortD
)
REGEDIT4

IF /I "C:\32788R22FWJFW" NEQ "C:\32788R22FWJFW" GOTO Abort

IF EXIST "C:\Users\Martin\AppData\Local\Temp\32788R22FWJFW32788R22FWJFW.log" DEL /A/F "C:\Users\Martin\AppData\Local\Temp\32788R22FWJFW32788R22FWJFW.log"

FOR /F "TOKENS=*" %G IN ("C:\Users\Martin\Desktop\cofi.exe") DO (
SET "FileName=%~NG"
SET "FilePath=%~DPG"
)

(
SET "FileName=cofi"
SET "FilePath=C:\Users\Martin\Desktop\"
)

SET FileName 1>FileName

GREP -ix "FileName=[-[:alnum:]@.]*" FileName || GOTO AbortB
FileName=cofi

DIR /AD/B C:\* 1>DirName00

GREP -ivx ComboFix DirName00 1>DirName01

GREP -Fisqx "cofi" DirName01 && CALL :NameChk

SET "FileName=cofi32301c"

IF EXIST "C:\cofi32301c\" GOTO :NameChk

IF EXIST DirName0? DEL /A/F/Q DirName0?

IF EXIST Oldsfxname00 DEL /A/F Oldsfxname00

IF EXIST "C:\cofi32301c\" (
SWXCACLS "C:\cofi32301c" /RESET /Q
RD /S/Q "C:\cofi32301c"
IF EXIST "C:\cofi32301c\" (
PEV -k "C:\cofi32301c\*"
RD /S/Q "C:\cofi32301c"
)
IF EXIST "C:\cofi32301c\" (
HANDLE "C:\cofi32301c" 1>temp00
SED -R "/.* pid: (\d*) +(\S*):.*/I!d;s//@Handle -c \2 -y -p \1/" temp00 1>temp00.bat
CALL temp00.bat
DEL /A/F temp00.bat temp00
RD /S/Q "C:\cofi32301c"
)
)

IF EXIST "C:\cofi32301c\" RD /S/Q "C:\cofi32301c"

IF EXIST "C:\cofi32301c\" GOTO :EOF

PEV UZIP "License\streamtools.zip" License && MOVE /Y License\SF.exe 1>N_\537 2>&1

GREP -Eisq "=.\/uninstall" sfx.cmd && IF EXIST MsName.bat (ECHO.@SET SfxCmd= 1>sfx.cmd ) ELSE echo..1>ItsBeenPhun

DEL /A/F prep.done MsName.bat

MD "C:\cofi32301c" 1>N_\11513 2>&1

IF EXIST MUI FOR /F "TOKENS=*" %G IN (MUI) DO @(
MD "C:\cofi32301c\%~G"
COPY /Y /B "%~G\*" "C:\cofi32301c\%~G\"
) 1>N_\18971 2>&1

COPY /Y /B cmd.cfxxe "C:\cofi32301c\CF1309.cfxxe" 1>N_\5217 2>&1

SET "COMSPEC=C:\cofi32301c\CF1309.cfxxe"

CD ..

SWREG ADD "HKLM\Software\Swearware" /V LastDir /D "C:\cofi32301c"

START /I /B HIDEC "C:\cofi32301c\CF1309.cfxxe" /F:OFF /D /C C:\Start_.cmd

NIRCMD WAIT 2000
Das System kann den angegebenen Pfad nicht finden.

cosinus · 16.11.2009, 13:58

Deinstalliere Combofix:

1.) Start, Ausführen
2.) combofix /U eintippen, Ok
3.) Nochmal mit cofi.exe probieren

96p · 16.11.2009, 20:00

wenn ich das bei ausführen eintippe versucht er das Programm zu starten, ka ob das so gedacht ist

Ich hab mal von Hand alles gelöscht was ich davon gefunden habe. Combofix kommt jedoch weiterhin nicht über den scanvorgang hinaus und selbst wenn ichs 40min laufen lasse passiert überhaupt nichts.

Mal aus Interesse gefragt: wieso ist das wichtig das ich die exe beim download umbenenne ?

cosinus · 16.11.2009, 20:25

Zitat:

Zitat von 96p

Mal aus Interesse gefragt: wieso ist das wichtig das ich die exe beim download umbenenne ?

Das hat schon seine Gründe. Bestimmte Malware "versteckt" sich vor einer laufenden combofix.exe, mit einer umbenannten Version passiert das nicht bzw. ist die Wahrscheinlichkeit da viel geringer. Deswegen immer genau die Anleitungen beachten und umsetzen!

Fraglich ob wir jetzt noch Combofix überhaupt noch zum Laufen bringen können. C:\Qoobox hast Du gelöscht?

Mach mal bitte zur Kontrolle Logfiles, vllt ist eine Ausführung von Combofix auch garnicht mehr unbedingt notwendig.

1.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

2.) Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

96p · 16.11.2009, 21:19

um ehrlich zu sein hab ich nur das gelöscht das ich eindeutig zuordnen konnte

C:\Qoobox ist also wohl noch da.

die logs mache ich dann morgen wenn das keinen unterschied macht.

96p · 18.11.2009, 10:20

PrevXCSI hat nichts gefunden.

OTL: http://www.file-upload.net/download-2019252/OTL.Txt.html
Löschlink: http://www.file-upload.net/delete-2019252/aqie2b.html

Gruss
Martin

cosinus · 18.11.2009, 10:55

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen. Du kannst auch einfach den Ergebnislink posten:

Code:

ATTFilter

C:\Windows\System32\pbsvc_heroes.exe

96p · 18.11.2009, 14:30

http://www.virustotal.com/de/analisis/3d317e39c2a4b15cf83cf48de9fd9bac6d1d6b9acdef062442f85b429363c03d-1258550738

Schonmal ein ganz grosses Zwichen-Danke für deine Geduld und tatkräftige Hilfe

16.11.2009, 10:37	#7
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner TR/PSW.Wow.uml in xml_inc.dll Ja!! Bitte die alte combofix löschen, neu herunterladen und beim Herunterladen (streng nach Anleitung) in cofi umbenennen, danach ein neuer Durchlauf. __________________ Logfiles bitte immer in CODE-Tags posten

16.11.2009, 13:58	#9
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner TR/PSW.Wow.uml in xml_inc.dll Deinstalliere Combofix: 1.) Start, Ausführen 2.) combofix /U eintippen, Ok 3.) Nochmal mit cofi.exe probieren __________________ Logfiles bitte immer in CODE-Tags posten

Trojaner TR/PSW.Wow.uml in xml_inc.dll

Log-Analyse und Auswertung: Trojaner TR/PSW.Wow.uml in xml_inc.dll