|
Plagegeister aller Art und deren Bekämpfung: Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07AWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.12.2009, 21:29 | #61 |
| Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A ccleaner erfolgreich laufen lassen, combofix ging leider nicht- notepad-meldung nach dem ausführen der cofi.exe: Code:
ATTFilter ComboFix is Offline. Please visit http://download.bleepingcomputer.com/sUBs/ComboFix.html |
15.12.2009, 22:41 | #62 |
/// Selecta Jahrusso | Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A Fixen mit OTL
__________________
Code:
ATTFilter :OTL @Alternate Data Stream - 24 bytes -> C:\WINDOWS:45203195861BE07A [purity] [emptytemp] [start explorer] [Reboot]
__________________ |
15.12.2009, 23:59 | #63 |
| Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07ACode:
ATTFilter All processes killed ========== OTL ========== Unable to delete ADS C:\WINDOWS:45203195861BE07A . File rity] not found. File ptytemp] not found. File art explorer] not found. File boot] not found. OTL by OldTimer - Version 3.1.17.0 log created on 12152009_234614 Files\Folders moved on Reboot... Registry entries deleted on Reboot... kann es damit zu tun haben, dass bei 2 meiner festplatten (beim reboot) windows grundsätzlich nicht hochfährt, bevor ich sie ausgeschaltet habe, und reset gedrückt habe? |
16.12.2009, 09:02 | #64 |
/// Selecta Jahrusso | Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A Ich tippe jetzt erstmal darauf, dass der ADS zu einer Software gehört. Ich werde mich mal umhören ob jemand was dazu sagen kann.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
16.12.2009, 12:36 | #65 |
| Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A ok, danke. |
16.12.2009, 15:21 | #66 |
/// Selecta Jahrusso | Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A Fixen mit OTL
Code:
ATTFilter :Files @C:\WINDOWS:45203195861BE07A :Commands [emptytemp] [start explorer] [Reboot]
__________________ --> Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A |
16.12.2009, 19:57 | #67 |
| Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07ACode:
ATTFilter All processes killed ========== FILES ========== Unable to delete ADS C:\WINDOWS:45203195861BE07A . ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: xxx Admin ->Temp folder emptied: 927406064 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 13689353 bytes ->FireFox cache emptied: 57061795 bytes ->Google Chrome cache emptied: 0 bytes User: xxx Online ->Temp folder emptied: 212640 bytes ->Temporary Internet Files folder emptied: 37526 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 111755266 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 746 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 573013 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 1138654 bytes %systemroot%\System32 .tmp files removed: 2951 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 3955784 bytes Total Files Cleaned = 1064,24 mb OTL by OldTimer - Version 3.1.17.0 log created on 12162009_190312 Files\Folders moved on Reboot... Registry entries deleted on Reboot... ganz schön hartnäckig, das ding.. |
16.12.2009, 22:24 | #68 |
/// Selecta Jahrusso | Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix Lade dir ComboFix hier herunter auf deinen Desktop.
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
17.12.2009, 01:24 | #69 |
| Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07ACode:
ATTFilter ComboFix 09-12-16.01 - xxx Online 17.12.2009 0:45.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.511.335 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\xxx Online\Desktop\KittyFix.exe AV: Kaspersky Security Suite CBE *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0} FW: Kaspersky Security Suite CBE *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\90d_enu.exe . ((((((((((((((((((((((( Dateien erstellt von 2009-11-16 bis 2009-12-16 )))))))))))))))))))))))))))))) . 2009-12-15 22:17 . 2009-12-15 22:17 -------- d-----w- C:\_OTL 2009-12-14 03:53 . 2009-12-14 03:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip 2009-12-14 01:23 . 2009-12-14 01:23 -------- d-----w- C:\found.001 2009-12-13 21:20 . 2009-12-14 05:41 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\DoctorWeb 2009-12-11 19:31 . 2009-12-11 19:31 -------- d-----w- C:\found.000 2009-12-09 19:09 . 2009-12-13 20:23 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\DoctorWeb A 2009-12-08 19:28 . 2009-12-16 19:21 117760 ----a-w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL 2009-12-08 19:26 . 2009-12-08 19:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-12-08 18:23 . 2009-12-08 18:24 -------- d-----w- c:\programme\Sophos 2009-12-08 17:37 . 2009-12-08 17:39 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2009-12-08 00:59 . 2009-12-08 00:59 -------- d-----w- c:\programme\ALCATech 2009-12-07 23:20 . 2001-05-28 14:30 8864 ----a-w- c:\windows\system32\drivers\MARXDEV3.SYS 2009-12-07 23:19 . 2001-11-05 10:56 32960 ----a-w- c:\windows\system32\drivers\mmrtkrnl.sys 2009-12-07 11:19 . 2009-12-07 11:22 4844296 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2009-12-04 21:08 . 2001-08-18 03:22 12288 -c--a-w- c:\windows\system32\dllcache\mouhid.sys 2009-12-04 21:08 . 2001-08-18 03:22 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys 2009-12-04 21:07 . 2008-04-13 23:15 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys 2009-12-04 21:07 . 2008-04-13 23:15 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys 2009-11-29 02:43 . 2009-11-29 02:43 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Malwarebytes 2009-11-26 00:06 . 2009-11-26 00:06 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Foxit 2009-11-24 01:44 . 2009-11-24 01:44 -------- d-----w- c:\programme\Microsoft Silverlight 2009-11-24 01:42 . 2009-11-24 01:42 -------- d-----w- c:\programme\Microsoft 2009-11-22 23:35 . 2009-11-22 23:35 79488 ----a-w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll 2009-11-22 19:56 . 2009-11-23 14:39 79488 ----a-w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll 2009-11-22 19:40 . 2009-11-22 19:40 -------- d-----w- c:\programme\SIW 2009-11-20 22:28 . 2009-11-20 22:28 177024 ----a-w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Mozilla\Firefox\Profiles\o89bzbcq.default\FlashGot.exe 2009-11-20 01:24 . 2009-11-20 01:24 -------- d-----w- c:\programme\SiSoftware 2009-11-20 00:59 . 2009-11-20 00:59 -------- d-----w- c:\programme\HD Tune 2009-11-20 00:57 . 2009-03-27 15:36 286208 ----a-w- c:\programme\gmer.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-12-17 00:02 . 2009-02-13 10:00 424736 --sha-w- c:\windows\system32\drivers\fidbox.dat 2009-12-16 23:58 . 2009-02-13 10:00 2852896 --sha-w- c:\windows\system32\drivers\fidbox2.dat 2009-12-16 23:58 . 2009-02-13 10:00 32 --sha-w- c:\windows\system32\drivers\fidbox.idx 2009-12-16 23:52 . 2009-02-13 10:00 283076 --sha-w- c:\windows\system32\drivers\fidbox2.idx 2009-12-16 19:18 . 2009-07-14 17:00 -------- d-----w- c:\programme\SUPERAntiSpyware 2009-12-16 18:39 . 2009-02-13 10:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-12-14 06:06 . 2009-11-10 18:16 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\vlc 2009-12-09 02:11 . 2009-03-18 03:26 -------- d-----w- c:\programme\Unlocker 2009-12-09 01:52 . 2009-02-01 18:15 -------- d-----w- c:\programme\Free WMA to MP3 Converter 2009-12-09 00:24 . 2009-03-18 03:26 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Unlocker 2009-12-08 19:27 . 2009-07-15 07:34 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\SUPERAntiSpyware.com 2009-12-08 17:21 . 2009-07-12 21:24 411368 ----a-w- c:\windows\system32\deploytk.dll 2009-12-07 19:45 . 2009-11-08 20:58 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-12-03 15:14 . 2009-11-08 20:58 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-12-03 15:13 . 2009-11-08 20:58 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-11-23 19:32 . 2009-08-15 08:28 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Nero 2009-11-22 19:20 . 2009-02-17 18:01 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Orbit 2009-11-22 19:12 . 2009-02-17 17:59 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Orbit 2009-11-21 20:17 . 2008-12-05 01:24 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\dvdcss 2009-11-20 01:29 . 2009-11-20 01:29 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml5.tmp 2009-11-20 01:29 . 2009-11-20 01:29 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml4.tmp 2009-11-20 01:29 . 2009-11-20 01:29 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml3.tmp 2009-11-20 01:29 . 2009-11-20 01:29 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml2.tmp 2009-11-18 01:19 . 2009-07-13 19:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-11-18 01:09 . 2009-07-13 20:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-11-17 20:30 . 2009-11-12 04:24 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\vlc 2009-11-12 18:01 . 2009-11-12 18:01 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\.clamwin 2009-11-12 17:11 . 2009-11-12 17:11 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\.clamwin 2009-11-12 17:10 . 2009-11-12 17:10 -------- d-----w- c:\programme\ClamWin 2009-11-11 18:11 . 2009-07-13 20:06 -------- d-----w- c:\programme\Spybot - Search & Destroy 2009-11-10 14:36 . 2009-11-10 14:28 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Winamp 2009-11-10 14:30 . 2009-11-10 14:28 -------- d-----w- c:\programme\Winamp 2009-11-10 14:06 . 2009-11-10 14:06 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Winamp 2009-11-08 20:58 . 2009-11-08 20:58 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Malwarebytes 2009-11-08 20:58 . 2009-11-08 20:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-11-04 07:35 . 2009-07-14 17:03 117760 ----a-w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL 2009-11-02 15:02 . 2009-11-02 15:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee 2009-10-31 15:01 . 2009-10-31 15:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan 2009-10-28 09:44 . 2001-08-23 11:00 70778 ----a-w- c:\windows\system32\perfc007.dat 2009-10-28 09:44 . 2001-08-23 11:00 405448 ----a-w- c:\windows\system32\perfh007.dat 2009-10-25 15:20 . 2009-10-25 15:20 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\dvdcss 2009-10-19 11:09 . 2009-02-13 10:01 95259 ----a-w- c:\windows\system32\drivers\klick.dat 2009-10-19 11:09 . 2009-02-13 10:01 108059 ----a-w- c:\windows\system32\drivers\klin.dat 2009-05-12 14:35 . 2009-07-14 12:02 49974 ----a-w- c:\programme\readsavxp_76_eng.html 2008-01-27 00:14 . 2009-05-11 20:30 75082408 ----a-w- c:\programme\90d_enu.exe 2007-10-22 17:06 . 2009-07-14 12:02 3189 ----a-w- c:\programme\readesavxpsa.txt 2004-05-07 10:25 . 2009-07-14 12:02 1822520 ----a-w- c:\programme\instmsiW.exe 2006-05-03 10:06 . 2009-02-07 10:03 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 11:47 . 2009-02-07 10:03 31232 --sh--r- c:\windows\system32\msfDX.dll 2008-03-16 13:30 . 2009-02-07 10:03 216064 --sh--r- c:\windows\system32\nbDX.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AnyDVD"="c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-09-09 2182080] "msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroCheck"="c:\windows\System32\NeroCheck.exe" [2001-07-09 155648] "CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344] "WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 65536] "UnlockerAssistant"="c:\dokumente und einstellungen\Claudia Online\Anwendungsdaten\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872] "TrueImageMonitor.exe"="c:\programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-11-30 1009779] "Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-11-30 118784] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-07-12 198160] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136] "NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 2213160] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696] "ClamWin"="c:\programme\ClamWin\bin\ClamTray.exe" [2009-11-03 86016] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-12-08 149280] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2009-09-03 13:21 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService] @="" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Orbitdownloader\\orbitdm.exe"= "c:\\Programme\\Orbitdownloader\\orbitnet.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP4\\RpcAgentSrv.exe"= "c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP4\\WNt500x86\\RpcSandraSrv.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [x] R0 NeroCdNt;NeroCdNt; [x] R2 acehlp10;acehlp10;c:\windows\System32\drivers\acehlp10.sys [2007-10-26 250560] R3 MaplomL;MaplomL; [x] R3 MHIKEY10;MHIKEY10;c:\windows\system32\Drivers\MHIKEY10.sys [2008-05-27 51072] R3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe [2009-08-17 99176] R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-11-23 7408] R3 WinDSLp;%WinDSLp_Desc%;c:\windows\system32\DRIVERS\WinDSL.sys [2002-02-08 47056] S0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [2007-09-05 39472] S1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [2009-11-23 9968] S1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.sys [2009-11-23 74480] S2 acedrv10;acedrv10;c:\windows\System32\drivers\acedrv10.sys [2007-10-28 583128] S2 ASPIXNT;ASPIXNT; [x] S2 MarxDev3;MarxDev3; [x] S3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2007-12-13 24592] S3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);c:\windows\system32\DRIVERS\WinDSL.sys [2002-02-08 47056] . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.internetcologne.de mStart Page = hxxp://www.internetcologne.de IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Mozilla\Firefox\Profiles\o89bzbcq.default\ FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-12-17 00:58 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(976) c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll c:\programme\SUPERAntiSpyware\SASWINLO.dll c:\windows\system32\klogon.dll c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\adialhk.dll - - - - - - - > 'lsass.exe'(1032) c:\windows\system32\relog_ap.dll c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\dnsq.dll c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll - - - - - - - > 'explorer.exe'(2688) c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\scrchpg.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\System32\SCardSvr.exe c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe c:\programme\CDBurnerXP\NMSAccessU.exe c:\windows\System32\wbem\wmiapsrv.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-12-17 01:07:01 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-12-17 00:06 Vor Suchlauf: 11 Verzeichnis(se), 36.742.320.128 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 36.567.228.416 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn - - End Of File - - 1E6B00115C16DE3B7EB043E639ADF4DC |
17.12.2009, 02:30 | #70 |
| Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A ich habe es noch mal drüberlaufen lassen, wegen der festplattenproblematik. diesmal wurde der pc nicht automatisch neu gebootet. Code:
ATTFilter ComboFix 09-12-16.01 - xxx Online 17.12.2009 1:53.2.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.511.281 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\xxx Online\Desktop\KittyFix.exe AV: Kaspersky Security Suite CBE *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0} FW: Kaspersky Security Suite CBE *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat ----- BITS: Eventuell infizierte Webseiten ----- hxxp://armmf.adobe.com . ((((((((((((((((((((((( Dateien erstellt von 2009-11-17 bis 2009-12-17 )))))))))))))))))))))))))))))) . 2009-12-15 22:17 . 2009-12-15 22:17 -------- d-----w- C:\_OTL 2009-12-14 03:53 . 2009-12-14 03:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\WinZip 2009-12-14 01:23 . 2009-12-14 01:23 -------- d-----w- C:\found.001 2009-12-13 21:20 . 2009-12-14 05:41 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\DoctorWeb 2009-12-11 19:31 . 2009-12-11 19:31 -------- d-----w- C:\found.000 2009-12-09 19:09 . 2009-12-13 20:23 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\DoctorWeb A 2009-12-08 19:28 . 2009-12-16 19:21 117760 ----a-w- c:\dokumente und einstellungen\Claudia Online\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL 2009-12-08 19:26 . 2009-12-08 19:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-12-08 18:23 . 2009-12-08 18:24 -------- d-----w- c:\programme\Sophos 2009-12-08 17:37 . 2009-12-08 17:39 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2009-12-08 00:59 . 2009-12-08 00:59 -------- d-----w- c:\programme\ALCATech 2009-12-07 23:20 . 2001-05-28 14:30 8864 ----a-w- c:\windows\system32\drivers\MARXDEV3.SYS 2009-12-07 23:19 . 2001-11-05 10:56 32960 ----a-w- c:\windows\system32\drivers\mmrtkrnl.sys 2009-12-07 11:19 . 2009-12-07 11:22 4844296 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2009-12-04 21:08 . 2001-08-18 03:22 12288 -c--a-w- c:\windows\system32\dllcache\mouhid.sys 2009-12-04 21:08 . 2001-08-18 03:22 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys 2009-12-04 21:07 . 2008-04-13 23:15 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys 2009-12-04 21:07 . 2008-04-13 23:15 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys 2009-11-29 02:43 . 2009-11-29 02:43 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Malwarebytes 2009-11-26 00:06 . 2009-11-26 00:06 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Foxit 2009-11-24 01:44 . 2009-11-24 01:44 -------- d-----w- c:\programme\Microsoft Silverlight 2009-11-24 01:42 . 2009-11-24 01:42 -------- d-----w- c:\programme\Microsoft 2009-11-22 23:35 . 2009-11-22 23:35 79488 ----a-w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll 2009-11-22 19:56 . 2009-11-23 14:39 79488 ----a-w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll 2009-11-22 19:40 . 2009-11-22 19:40 -------- d-----w- c:\programme\SIW 2009-11-20 22:28 . 2009-11-20 22:28 177024 ----a-w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Mozilla\Firefox\Profiles\o89bzbcq.default\FlashGot.exe 2009-11-20 01:24 . 2009-11-20 01:24 -------- d-----w- c:\programme\SiSoftware 2009-11-20 00:59 . 2009-11-20 00:59 -------- d-----w- c:\programme\HD Tune 2009-11-20 00:57 . 2009-03-27 15:36 286208 ----a-w- c:\programme\gmer.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-12-17 01:00 . 2009-02-13 10:00 491040 --sha-w- c:\windows\system32\drivers\fidbox.dat 2009-12-17 01:00 . 2009-02-13 10:00 2857248 --sha-w- c:\windows\system32\drivers\fidbox2.dat 2009-12-17 00:41 . 2009-02-13 10:00 32 --sha-w- c:\windows\system32\drivers\fidbox.idx 2009-12-17 00:41 . 2009-02-13 10:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-12-17 00:33 . 2009-02-13 10:00 283292 --sha-w- c:\windows\system32\drivers\fidbox2.idx 2009-12-16 19:18 . 2009-07-14 17:00 -------- d-----w- c:\programme\SUPERAntiSpyware 2009-12-14 06:06 . 2009-11-10 18:16 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\vlc 2009-12-09 02:11 . 2009-03-18 03:26 -------- d-----w- c:\programme\Unlocker 2009-12-09 01:52 . 2009-02-01 18:15 -------- d-----w- c:\programme\Free WMA to MP3 Converter 2009-12-09 00:24 . 2009-03-18 03:26 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Unlocker 2009-12-08 19:27 . 2009-07-15 07:34 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\SUPERAntiSpyware.com 2009-12-08 17:21 . 2009-07-12 21:24 411368 ----a-w- c:\windows\system32\deploytk.dll 2009-12-07 19:45 . 2009-11-08 20:58 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-12-03 15:14 . 2009-11-08 20:58 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-12-03 15:13 . 2009-11-08 20:58 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-11-23 19:32 . 2009-08-15 08:28 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Nero 2009-11-22 19:20 . 2009-02-17 18:01 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Orbit 2009-11-22 19:12 . 2009-02-17 17:59 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Orbit 2009-11-21 20:17 . 2008-12-05 01:24 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\dvdcss 2009-11-20 01:29 . 2009-11-20 01:29 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml5.tmp 2009-11-20 01:29 . 2009-11-20 01:29 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml4.tmp 2009-11-20 01:29 . 2009-11-20 01:29 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml3.tmp 2009-11-20 01:29 . 2009-11-20 01:29 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\xml2.tmp 2009-11-18 01:19 . 2009-07-13 19:33 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-11-18 01:09 . 2009-07-13 20:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-11-17 20:30 . 2009-11-12 04:24 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\vlc 2009-11-12 18:01 . 2009-11-12 18:01 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\.clamwin 2009-11-12 17:11 . 2009-11-12 17:11 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\.clamwin 2009-11-12 17:10 . 2009-11-12 17:10 -------- d-----w- c:\programme\ClamWin 2009-11-11 18:11 . 2009-07-13 20:06 -------- d-----w- c:\programme\Spybot - Search & Destroy 2009-11-10 14:36 . 2009-11-10 14:28 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\Winamp 2009-11-10 14:30 . 2009-11-10 14:28 -------- d-----w- c:\programme\Winamp 2009-11-10 14:06 . 2009-11-10 14:06 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Winamp 2009-11-08 20:58 . 2009-11-08 20:58 -------- d-----w- c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Malwarebytes 2009-11-08 20:58 . 2009-11-08 20:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-11-04 07:35 . 2009-07-14 17:03 117760 ----a-w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL 2009-11-02 15:02 . 2009-11-02 15:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee 2009-10-31 15:01 . 2009-10-31 15:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\McAfee Security Scan 2009-10-28 09:44 . 2001-08-23 11:00 70778 ----a-w- c:\windows\system32\perfc007.dat 2009-10-28 09:44 . 2001-08-23 11:00 405448 ----a-w- c:\windows\system32\perfh007.dat 2009-10-25 15:20 . 2009-10-25 15:20 -------- d-----w- c:\dokumente und einstellungen\xxx Admin\Anwendungsdaten\dvdcss 2009-10-19 11:09 . 2009-02-13 10:01 95259 ----a-w- c:\windows\system32\drivers\klick.dat 2009-10-19 11:09 . 2009-02-13 10:01 108059 ----a-w- c:\windows\system32\drivers\klin.dat 2009-05-12 14:35 . 2009-07-14 12:02 49974 ----a-w- c:\programme\readsavxp_76_eng.html 2008-01-27 00:14 . 2009-05-11 20:30 75082408 ----a-w- c:\programme\90d_enu.exe 2007-10-22 17:06 . 2009-07-14 12:02 3189 ----a-w- c:\programme\readesavxpsa.txt 2004-05-07 10:25 . 2009-07-14 12:02 1822520 ----a-w- c:\programme\instmsiW.exe 2006-05-03 10:06 . 2009-02-07 10:03 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 11:47 . 2009-02-07 10:03 31232 --sh--r- c:\windows\system32\msfDX.dll 2008-03-16 13:30 . 2009-02-07 10:03 216064 --sh--r- c:\windows\system32\nbDX.dll . ((((((((((((((((((((((((((((( SnapShot@2009-12-16_23.59.35 ))))))))))))))))))))))))))))))))))))))))) . + 2009-12-17 00:35 . 2009-12-17 00:35 16384 c:\windows\Temp\Perflib_Perfdata_768.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AnyDVD"="c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-09-09 2182080] "msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883840] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroCheck"="c:\windows\System32\NeroCheck.exe" [2001-07-09 155648] "CloneCDTray"="c:\programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344] "WinDSL MTU-Adjust"="WinDSL_MTU.exe" [2001-02-15 65536] "UnlockerAssistant"="c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872] "TrueImageMonitor.exe"="c:\programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-11-30 1009779] "Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-11-30 118784] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-07-12 198160] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136] "NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 2213160] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696] "ClamWin"="c:\programme\ClamWin\bin\ClamTray.exe" [2009-11-03 86016] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-12-08 149280] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2009-09-03 13:21 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService] @="" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Orbitdownloader\\orbitdm.exe"= "c:\\Programme\\Orbitdownloader\\orbitnet.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP4\\RpcAgentSrv.exe"= "c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP4\\WNt500x86\\RpcSandraSrv.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [12.02.2009 05:56 39472] R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [23.11.2009 08:43 9968] R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [23.11.2009 08:43 74480] R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [28.10.2007 16:35 583128] R2 ASPIXNT;ASPIXNT;c:\windows\system32\drivers\Aspixnt.sys [27.12.2008 17:00 6336] R2 MarxDev3;MarxDev3;c:\windows\system32\drivers\MARXDEV3.SYS [08.12.2009 00:20 8864] R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13.12.2007 14:28 24592] R3 WinDSLa;WinDSL-Adapter (PPP-over-Ethernet);c:\windows\system32\drivers\windsl.sys [16.02.2009 22:24 47056] S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?] S0 NeroCdNt;NeroCdNt;c:\windows\system32\drivers\NEROCDNT.SYS [27.12.2008 17:00 13344] S2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [26.10.2007 14:53 250560] S3 MaplomL;MaplomL;c:\windows\system32\drivers\maploml.sys [28.12.2008 09:13 38336] S3 MHIKEY10;MHIKEY10;c:\windows\system32\drivers\MHIKEY10.sys [15.08.2009 21:30 51072] S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2009.SP4\RpcAgentSrv.exe [20.11.2009 02:24 99176] S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [23.11.2009 08:43 7408] S3 WinDSLp;%WinDSLp_Desc%;c:\windows\system32\drivers\windsl.sys [16.02.2009 22:24 47056] . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.internetcologne.de mStart Page = hxxp://www.internetcologne.de IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\dokumente und einstellungen\xxx Online\Anwendungsdaten\Mozilla\Firefox\Profiles\o89bzbcq.default\ FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-12-17 02:00 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(940) c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll c:\programme\SUPERAntiSpyware\SASWINLO.dll c:\windows\system32\klogon.dll - - - - - - - > 'lsass.exe'(996) c:\windows\system32\relog_ap.dll c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\dnsq.dll c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\fssync.dll . Zeit der Fertigstellung: 2009-12-17 02:02:56 ComboFix-quarantined-files.txt 2009-12-17 01:02 Vor Suchlauf: 14 Verzeichnis(se), 36.575.940.608 Bytes frei Nach Suchlauf: 15 Verzeichnis(se), 36.538.298.368 Bytes frei - - End Of File - - 82D7AEE356E985173DE6EC03A3AF20A3 |
17.12.2009, 09:44 | #71 |
/// Selecta Jahrusso | Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A Bitte nicht auf eigene Faust hantieren. Hast du chkdsk laufen lassen ? Code:
ATTFilter armmf.adobe.com
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
17.12.2009, 16:04 | #72 |
| Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A ist das die datenträgerüberprüfung? dann ja, vor zwei tagen in etwa, glaube ich, hat der pc automatisch beim neustart alles geprüft, weil bei einem virenscan- ich glaube drweb? defekte 2 dateien/verzeichnisse? angezeigt wurden. Code:
ATTFilter armmf.adobe.com ich war erst skeptisch und dann dachte ich , das kommt von der installation des aktuellen adobe readers, da die meldung neu ist... super-anti hat auch reaktion ausgelöst: Code:
ATTFilter 16.12.2009 20:20:05 Prozess C:\Programme\SUPERAntiSpyware\2ae42daa-52e2-4b9b-9558-8d917d7ae1f2.exe (PID: 3416): Versuch zur Ausführung von verdächtigen Aktionen wurde erlaubt. hier mal ein auszug der neuesten kaspersky-meldungen.: Code:
ATTFilter 17.12.2009 02:15:09 Prozess C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (PID 428) wurde erfolgreich abgeschlossen. 17.12.2009 02:15:09 Fehler beim Verschieben von C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe in die Quarantäne (Zugriff ist verboten oder Objekt wurde nicht gefunden) 17.12.2009 02:15:10 Es wurden schädliche Objekte gefunden. Die sofortige Desinfektion wird empfohlen. 17.12.2009 02:15:15 Der Versuch von Prozess mit PID 648 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 440 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 17.12.2009 02:15:15 Der Versuch von Prozess mit PID 648 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 492 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 17.12.2009 02:27:40 Der Versuch von Prozess mit PID 1928 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 492 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 17.12.2009 02:34:51 Datei C:\WINDOWS:45203195861BE07A, gefunden: neue Bedrohung 'Hidden.Object' (Modifikation). 17.12.2009 02:34:51 Datei C:\WINDOWS:45203195861BE07A wurde nicht desinfiziert: Benutzer hat Bearbeitung aufgeschoben. 17.12.2009 02:34:51 Datei C:\WINDOWS:45203195861BE07A, gefunden: neue Bedrohung 'Hidden.Object' (Modifikation). 17.12.2009 02:34:54 Datei C:\WINDOWS:45203195861BE07A wird beim Neustart des Computers gelöscht werden. 17.12.2009 02:57:36 Intrusion.Win.MSSQL.worm.Helkern! IP-Adresse des Angreifers: 190.2.29.193. Protokoll/Dienst: UDP auf lokalem Port 1434. Zeit: 17.12.2009 02:57:35 17.12.2009 03:50:08 Der Versuch von Prozess mit PID 4008 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 492 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 17.12.2009 03:50:08 Der Versuch von Prozess mit PID 4008 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 440 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 17.12.2009 15:11:27 Schutz des Computers ist aktiv. 17.12.2009 15:11:34 Der Versuch von Prozess mit PID 1856 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1812 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 17.12.2009 15:11:41 Der Versuch von Prozess mit PID 916 Zugriff auf den Prozess Kaspersky Security Suite CBE mit PID 1812 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 17.12.2009 15:22:51 Intrusion.Win.MSSQL.worm.Helkern! IP-Adresse des Angreifers: 221.130.140.18. Protokoll/Dienst: UDP auf lokalem Port 1434. Zeit: 17.12.2009 15:22:51 17.12.2009 15:23:11 Datei C:\WINDOWS:45203195861BE07A, gefunden: neue Bedrohung 'Hidden.Object' (Modifikation). und ein und die selbe (u.a.) adresse wird von kaspersky häufig gemeldet: Code:
ATTFilter 17.12.2009 02:57:36 Intrusion.Win.MSSQL.worm.Helkern! IP-Adresse des Angreifers: 190.2.29.193. Protokoll/Dienst: UDP auf lokalem Port 1434. Zeit: 17.12.2009 02:57:35 weiss nicht, ob das hilft, dachte ich poste es mal... alles weitere wieder nur nach anweisung |
17.12.2009, 16:21 | #73 |
/// Selecta Jahrusso | Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A schritt 1 Öffne Kaspersky. Klicke auf "Einstellungen", "Service" und auf "Erweitert". Entferne das Häkchen (ganz links/unter "Anzeige") bei "Erkennung von Netzwerkangriffen". Klicke auf "OK", auf "Übernehmen" und auf "OK". Diese Lücke wurde von MS schon sehr lange gefixt. schritt 2 Lösche unter C:\ die Ordner Found.001 und 000 schritt 3 Deinstalliere SuperAntiSpyware. schritt 4 Scripten mit Combofix
Code:
ATTFilter KillAll:: ADS:: C:\WINDOWS:45203195861BE07A
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. schritt 5 Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
17.12.2009, 16:32 | #74 |
| Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A statt: "Erkennung von Netzwerkangriffen". finde ich unter ANSICHT nur: "ereignisbenachrichtigung aktivieren" kann es das sein? 'schulligung- habs doch gefunden. erkennen von netzwerkangriffen. haken raus bei anzeige und ton. bei deinstallation von super freeware sind zwei seltsame sachen passiert: 1. fenster öffnet sich: close the following application before continuing install: Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A\trojaner-board\mozilla firefox (wiedergabe nicht 100% korrekt) daraufhin habe ich firefox geschlossen. dann öffneten sich plötzlich 2 ie -fenster und kaspersky meldet alarm: 17.12.2009 16:46:39 Die Anwendung IEXPLORE.EXE wurde verändert entweder wurde sie verändert, oder ist infiziert. ich habe den zugriff verweigert, und die fenster geschlossen. lt CCleaner ist super freeware deinstalliert. Geändert von madz (17.12.2009 um 16:54 Uhr) |
17.12.2009, 16:33 | #75 |
/// Selecta Jahrusso | Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A Ich hab die Anleitung selber gegooglet. Ich hab keine Ahnung von Kas
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
Themen zu Kaspersky findet: hidden object C:\WINDOWS:45203195861BE07A |
administrator, alles gelöscht, anti-malware, c:\windows, cdburnerxp, code, dateien, file, gelöscht, gservice, hidden object, hkus\s-1-5-18, image, kaspersky, locker, meldung, microsoft, modifikation, neue, neustart, object, online, plug-in, problem, programme, registrierungsschlüssel, rogue.installer, scan, security, security suite, service, software, version, windows |