| |
| |||||||
Log-Analyse und Auswertung: Internetzugang Missbruacht durch Virus, spam und FehlermeldungenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
18.12.2009, 15:25
| #16 |
 |  Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Ich habe eine Xp boot Cd. Leider geht combofix zurzeit nicht und ist nicht verfüg bar. Soll ich warten bis es wieder verfügbar ist oder schon die anderen schritte druchgehen? |
|
18.12.2009, 21:14
| #17 |
  | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Hi,
__________________lasse Combofix erstmal weg und verfahre wie vorgeschlagen (mbr /f) und Dr. Web (der kann auch mit dem rootkit umgehen)... CF ist wegen Problemen mit diesem netten Teil offline... Die XP-CD brauchen wir, um gff. von der zu booten und die notwendigen Dateien von der CD auf den Rechner kopieren zu können (atapi.sys und svchost.exe)... Wenn Dr. Web nicht weiterkommt... Poste auf jeden Fall den Log von Dr. Web... chris
__________________ |
|
21.12.2009, 22:25
| #18 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Combofix log:
__________________Code:
ATTFilter ComboFix 09-12-20.08 - Simon 21.12.2009 21:46:13.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1701 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Simon\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert
Kopie von - c:\windows\system32\dllcache\atapi.sys wurde wiederhergestellt
Infizierte Kopie von c:\windows\system32\drivers\ndis.sys wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\ndis.sys wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2009-11-21 bis 2009-12-21 ))))))))))))))))))))))))))))))
.
2009-12-11 14:59 . 2009-12-11 14:59 -------- d-----w- c:\windows\system32\config\systemprofile\Anwendungsdaten\Yahoo!
2009-12-09 14:16 . 2009-12-09 14:16 77312 ----a-w- c:\dokumente und einstellungen\Simon\mbr.exe
2009-12-07 20:44 . 2009-12-07 20:44 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-07 20:44 . 2009-12-07 20:44 -------- d-----w- c:\programme\DVDVideoSoft
2009-12-04 18:13 . 2009-12-04 18:13 -------- d-----w- C:\rsit
2009-12-04 14:47 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-04 14:47 . 2009-12-04 14:47 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-04 14:47 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-02 13:12 . 2009-12-02 13:12 212224 -c--a-w- c:\windows\system32\dllcache\ndis.sys
2009-12-02 13:09 . 2009-12-02 13:09 -------- d-----w- c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\TouchStoneSoftware
2009-11-30 00:02 . 2008-10-21 18:22 276443 ----a-w- c:\windows\Scheduler.exe
2009-11-29 14:42 . 2009-11-29 14:42 -------- d-----w- c:\programme\Phoenix Technologies
2009-11-29 14:20 . 2009-11-29 14:20 -------- d-----w- c:\windows\system32\wbem\Repository
2009-11-27 15:48 . 2009-11-29 14:19 -------- d-----w- c:\programme\Ontrack
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-21 21:09 . 2001-08-23 12:00 84326 ----a-w- c:\windows\system32\perfc007.dat
2009-12-21 21:09 . 2001-08-23 12:00 458822 ----a-w- c:\windows\system32\perfh007.dat
2009-12-21 20:39 . 2004-08-03 21:59 148768 ----a-w- c:\windows\system32\drivers\atapi.sys
2009-12-21 20:33 . 2009-03-08 14:35 -------- d-----w- c:\programme\Trillian
2009-12-21 17:58 . 2009-03-08 14:43 -------- d-----w- c:\programme\Steam
2009-12-19 15:39 . 2009-08-25 19:57 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Free Download Manager
2009-12-18 16:56 . 2009-03-08 15:42 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Skype
2009-12-18 16:29 . 2009-03-08 15:44 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\skypePM
2009-12-07 12:25 . 2009-12-01 17:26 79488 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-05 12:15 . 2009-10-25 18:43 -------- d-----w- c:\programme\Trellian
2009-12-04 18:58 . 2009-03-08 11:45 -------- d-----w- c:\programme\Opera
2009-12-03 20:42 . 2009-05-27 17:36 -------- d-----w- c:\programme\Acoustica Mixcraft 4
2009-12-02 13:12 . 2004-08-03 22:14 212224 ----a-w- c:\windows\system32\drivers\ndis.sys
2009-12-02 13:12 . 2009-12-02 13:12 12 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\hlusyf.dat
2009-12-02 13:11 . 2009-12-02 13:11 4 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\avdrn.dat
2009-12-01 22:05 . 2009-09-27 21:35 -------- d-----w- c:\programme\VstPlugins
2009-11-27 15:48 . 2009-03-08 11:01 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-11-15 19:30 . 2009-11-13 18:36 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\PACE Anti-Piracy
2009-11-15 19:30 . 2009-11-13 18:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2009-11-13 18:36 . 2009-11-13 18:36 -------- d-----w- c:\programme\Gemeinsame Dateien\PACE Anti-Piracy
2009-11-12 15:30 . 2009-11-12 14:58 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\LimeWire
2009-11-12 15:30 . 2009-11-12 14:58 -------- d-----w- c:\programme\LimeWire
2009-11-11 19:20 . 2009-03-10 15:41 1 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-11-11 10:47 . 2009-10-17 14:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-11-02 13:34 . 2009-03-15 10:33 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Bioshock
2009-10-27 14:04 . 2009-10-27 14:04 -------- d-----w- c:\programme\UnH Solutions
2009-10-27 13:55 . 2009-10-27 13:55 -------- d-----w- c:\programme\QuickTime Alternative
2009-10-27 13:55 . 2009-09-22 20:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-10-25 18:46 . 2009-10-25 18:44 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Trellian
2009-09-27 21:36 . 2009-09-27 21:35 3828846 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\OpenCandy\maximus_install.exe
2009-05-01 21:02 . 2009-01-27 01:34 1044480 ----a-w- c:\programme\opera\program\plugins\libdivx.dll
2009-05-01 21:02 . 2009-01-27 01:34 200704 ----a-w- c:\programme\opera\program\plugins\ssldivx.dll
2009-03-15 23:57 . 2009-03-10 12:24 10289184 --sha-w- c:\windows\system32\drivers\fidbox.dat
.
------- Sigcheck -------
[-] 2009-12-21 . C5A2E3829981F247116AD35359C90274 . 148768 . . [5.1.2600.5512] . . c:\windows\system32\drivers\atapi.sys
[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys
[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\atapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys
[-] 2009-12-02 . 1DF7F42665C94B825322FAE71721130D . 212224 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ndis.sys
[-] 2009-12-02 . 1DF7F42665C94B825322FAE71721130D . 212224 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\ndis.sys
[7] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ndis.sys
[-] 2004-08-03 . 1DF7F42665C94B825322FAE71721130D . 182912 . . [5.1.2600.5512] . . c:\windows\$NtServicePackUninstall$\ndis.sys
.
((((((((((((((((((((((((((((( SnapShot@2009-12-09_13.19.38 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-21 21:02 . 2009-12-21 21:02 16384 c:\windows\Temp\Perflib_Perfdata_680.dat
+ 2004-08-03 23:57 . 2008-04-14 06:52 74752 c:\windows\system32\peyupnb.exe
+ 2001-08-23 12:00 . 2009-12-21 21:09 71060 c:\windows\system32\perfc009.dat
- 2001-08-23 12:00 . 2009-12-09 13:20 71060 c:\windows\system32\perfc009.dat
+ 2004-08-03 23:57 . 2009-02-09 10:51 18432 c:\windows\system32\drivers\zkmfnebp.sys
+ 2009-12-11 14:59 . 2009-12-11 14:59 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009121120091212\index.dat
+ 2009-03-08 10:58 . 2009-12-21 21:01 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2009-03-08 10:58 . 2009-12-09 13:09 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2009-12-11 14:59 . 2009-12-11 14:59 78924 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat
+ 2009-12-15 19:49 . 2009-12-15 19:49 16384 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\MSIMGSIZ.DAT
+ 2009-03-08 10:58 . 2009-12-21 21:01 32768 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-12-11 15:19 . 2009-12-20 21:45 32768 c:\windows\system32\config\systemprofile\Anwendungsdaten\Microsoft\Internet Explorer\UserData\index.dat
- 2001-08-23 12:00 . 2009-12-09 13:20 441124 c:\windows\system32\perfh009.dat
+ 2001-08-23 12:00 . 2009-12-21 21:09 441124 c:\windows\system32\perfh009.dat
+ 2009-03-08 10:58 . 2009-12-21 21:01 114688 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Simon\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
Trillian.lnk - c:\programme\Trillian\trillian.exe [2008-11-26 1873280]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
forteManager.lnk - c:\programme\LG Soft India\forteManager\bin\Monitor.exe [2009-8-9 1134592]
PalTalk.lnk - c:\programme\Paltalk Messenger\paltalk.exe [2009-4-25 11057664]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\day of defeat source\\hl2.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\garrysmod\\hl2.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Paltalk Messenger\\paltalk.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\half-life 2 deathmatch\\hl2.exe"=
"c:\\Programme\\Free Download Manager\\fdm.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [08.03.2009 12:00 13696]
R3 LGDDCDevice;LGDDCDevice;c:\programme\LG Soft India\forteManager\bin\I2CDriver.sys [09.08.2009 01:33 14336]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [09.03.2009 23:16 4352]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [27.09.2009 14:00 1527900]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [09.03.2009 23:16 265088]
S3 LGII2CDevice;LGII2CDevice;c:\programme\LG Soft India\forteManager\bin\PII2CDriver.sys [09.08.2009 01:33 17408]
S3 PLCND532;PLCND532 NDIS Protocol Driver;c:\windows\system32\drivers\PLCND532.sys [14.12.2007 16:26 26656]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.schnellsucher.com/?t=Q0908251707&s=h
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
FF - ProfilePath - c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.schnellsucher.com/?t=Q0908251707&s=h
FF - prefs.js: network.proxy.type - 2
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-21 22:08
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
c:\dokume~1\Simon\LOKALE~1\Temp\RGI3.tmp 7116 bytes
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe >>UNKNOWN [0x89DBE500]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb80ecf28
\Driver\ACPI -> ACPI.sys @ 0xb7f7ecb8
\Driver\atapi -> atapi.sys @ 0xb7f10852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: -> SendCompleteHandler -> 0x0
PacketIndicateHandler -> 0x0
SendHandler -> 0x0
user & kernel MBR OK
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:c2,c7,d9,45,dc,f2,e5,38,4e,82,e6,88,e4,33,f7,ce,df,16,b0,10,f3,73,39,
2c,23,fc,f6,69,14,25,dd,9f,f5,d5,63,25,d4,f0,39,61,a6,2f,06,c0,a6,81,b0,08,\
"??"=hex:aa,d3,ad,10,3e,21,e1,5a,ee,a5,d7,2f,8a,be,03,83
[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:97,1a,27,7a,9b,1c,72,6a,c6,27,e3,ad,42,b1,5a,95,df,65,d0,87,55,
0e,4f,80,b2,9a,76,4e,56,e7,ec,ef,ab,af,94,54,29,2f,cb,95,71,1f,42,94,48,9f,\
"rkeysecu"=hex:3c,2e,31,50,70,cb,f4,7c,cd,47,02,0b,35,13,db,0c
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\avmwlanstick\WlanNetService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
c:\windows\system32\wscntfy.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-21 22:17:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-12-21 21:17
ComboFix2.txt 2009-12-09 13:29
Vor Suchlauf: 14 Verzeichnis(se), 21.767.196.672 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 24.585.228.288 Bytes frei
- - End Of File - - D646E8B6609C0B8E047725ED35C44483
mbam log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3292
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
04.12.2009 18:53:41
mbam-log-2009-12-04 (18-53-36).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 349429
Laufzeit: 2 hour(s), 29 minute(s), 54 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 50
Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\updxsp32.exe (Trojan.Dropper) -> No action taken.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\GodLib (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tcpsr (Trojan.Agent) -> No action taken.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vdettcq (Trojan.Agent.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run (Trojan.Agent) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run (Trojan.Agent) -> Data: c:\dokumente und einstellungen\simon\anwendungsdaten\adobe\manager.exe -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\dokumente und einstellungen\Simon\lokale einstellungen\anwendungsdaten\vdettcq.exe (Trojan.Agent.H) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\updxsp32.exe (Trojan.Dropper) -> No action taken.
C:\rnkvgt.exe (Trojan.Dropper) -> No action taken.
C:\thgnclsp.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\ntuser.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Adobe\Manager.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\rundll32.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\u5el7.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\j72a986.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\~TMB4D.tmp (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\~TMB61.tmp (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\xum97.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\005.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\171.exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\p6i8ot.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9VUQ4JYQ\mspcmnaao[1].htm (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9VUQ4JYQ\tmcerfsg[1].htm (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\tmcerfsg[1].htm (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\wpzzanosop[1].htm (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\eghqa[1].htm (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\mspcmnaao[1].htm (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KQLVRZV8\eghqa[1].htm (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KQLVRZV8\loaderadv563[1].exe (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KQLVRZV8\wpzzanosop[1].htm (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M28U4UM5\rkuresft[1].htm (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M28U4UM5\rkuresft[2].htm (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M28U4UM5\Xms[1].exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\ihaupd32.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\scandisk.dll (Trojan.Agent) -> No action taken.
C:\Programme\Super Fast Shutdown\shutdown.exe (HackTool.Shutdown) -> No action taken.
C:\RECYCLER\S-1-5-21-9408339212-7261285265-491933822-1687\wnzip32.exe (Worm.Autorun.B) -> No action taken.
C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP22\A0011771.exe (Adware.NaviPromo) -> No action taken.
C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP22\A0011774.exe (Adware.Casino) -> No action taken.
C:\WINDOWS\ccdrive32.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\ir6d8bwwy.dll (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\av_md.exe (Trojan.Inject) -> No action taken.
C:\WINDOWS\system32\i9q4v3n.dll (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\calc.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\av_md.exe (Trojan.Inject) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\ntuser.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\scandisk.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\~TMB5C.tmp (Trojan.Inject) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\scandisk.lnk (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\nsrbgxod.bak (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\reader_s.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\habnf88jkefh87ifiks.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\pskfo83wijf89uwuhal8.tmp (Trojan.Agent) -> No action taken.
Dr web cure it log folgt morgen, tut mir leid wegen der Verspätung. Lg Simon |
|
22.12.2009, 19:31
| #19 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Drweb Cure it log: Code:
ATTFilter Google Cash Sniper. Full Crack Aug 09 .exe;C:\Dokumente und Einstellungen\Simon\Desktop;Trojan.DownLoad1.12826;Nicht desinfizierbar.Verschoben.;
restart.exe;C:\Programme\Super Fast Shutdown;Tool.ShutDown.14;;
atapi.sys.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
atapi.sys.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
ndis.sys.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers;BackDoor.Bulknet.417;Desinfiziert.;
A0042376.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP48;Tool.ShutDown.14;;
A0042785.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP50;Win32.HLLW.Lime.18;Gelöscht.;
A0042858.dll;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP50;Trojan.Proxy.10443;Gelöscht.;
A0042859.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP50;Win32.HLLW.Lime.18;Gelöscht.;
A0043378.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Trojan.DownLoad.47257;Gelöscht.;
A0043379.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Trojan.DownLoad.47257;Gelöscht.;
A0044527.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Trojan.DownLoad.47257;Gelöscht.;
A0044746.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Trojan.DownLoad.47257;Gelöscht.;
A0044755.bat;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Wahrscheinlich BATCH.Virus;;
A0046716.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.Winlock.598;Desinfiziert.;
A0046717.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.NtRootKit.4889;Gelöscht.;
A0047716.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.Winlock.598;Desinfiziert.;
A0047717.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.NtRootKit.4889;Gelöscht.;
A0047747.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.Winlock.598;Desinfiziert.;
A0047748.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.NtRootKit.4889;Gelöscht.;
A0047806.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.Winlock.598;Desinfiziert.;
A0047807.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.NtRootKit.4889;Gelöscht.;
A0047819.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.DownLoad.47257;Gelöscht.;
A0047850.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.DownLoad.47257;Gelöscht.;
A0047903.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.DownLoad.47257;Gelöscht.;
A0047909.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;BackDoor.Tdss.1365;Desinfiziert.;
A0047929.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;Trojan.DownLoad.47257;Gelöscht.;
A0049098.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;Trojan.DownLoad.47257;Gelöscht.;
A0049106.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;BackDoor.Tdss.1365;Desinfiziert.;
A0049114.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;BackDoor.Tdss.1365;Desinfiziert.;
A0049114.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;Trojan.DownLoad.47257;Gelöscht.;
A0049131.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;
A0049348.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;
A0049377.bat;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Wahrscheinlich BATCH.Virus;;
A0049474.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;
A0049605.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad1.16169;Nicht desinfizierbar.Verschoben.;
A0049606.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.Inject.6289;Gelöscht.;
A0049607.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;
A0049617.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;BackDoor.Tdss.1365;Desinfiziert.;
A0049617.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;
A0049618.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad1.12826;Nicht desinfizierbar.Verschoben.;
A0049639.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;BackDoor.Tdss.1365;Desinfiziert.;
A0049639.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;
atapi.sys;C:\WINDOWS\LastGood\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
atapi.sys;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
OLD5.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
OLD5.tmp;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
OLD8.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
OLD8.tmp;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
OLDB.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
OLDB.tmp;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
OLDE.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
OLDE.tmp;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;
lg Simon |
|
23.12.2009, 01:39
| #20 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Hey, Also DrWeb cure it hat nun einige wichtige Boot dateien verschoben denke ich. Ich habe meinen Pc auf Anweisung von DrWeb heruntergefahren und wenn er nun hochfäht kommt er nur bis um Windows XP Zeichen, dann kommt ein blauer Bildschrim ein paar Zeilen laufen ab und er startet von neuem. Im abgesichtertem Modus kann ich auch nciht booten. Wie ersetze ich diese dateien?Soll ich nun von der Cd booten? Schreibe nun vom Laptop aus. Lg, Simon |
|
23.12.2009, 15:50
| #21 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Ich habe nun von der Xp Cd gebootet und bin in die Wiederherstellungskonsole gegangen. Dort habe ich Bootfix fixmbr durchgeführt und nun läuft der computer wieder. Wie geht es nun weiter? Lg, Simon |
|
23.12.2009, 18:13
| #22 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Hi, die atapi.sys wurde von Dr. Web gelöscht und konnte nicht ersetzt werden... D.h. es waren nur verseuchte Versionen auf dem Rechner... Wir müssen prüfen ob das jetzt Okay ist, daher nochmal combofix (der sollte wieder online sein. TDSS ist nicht so einfach tot zu kriegen... Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. chris Ps. Denkste, er ist wieder down... Lass noch mal Dr. Web laufen, ob er noch was in der atapi.sys findet, oder ob die durch Booten von der XP-CD automatisch ersetzt wurde. Sonst müssen wir sie von der CD runterkopiern, expandieren und in das richtige Verzeichnis kopieren...
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
28.12.2009, 15:25
| #23 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Dr Web Cure it Log: Code:
ATTFilter List-C.bat;C:\ComboFix;Wahrscheinlich BATCH.Virus;;
A0049652.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;BackDoor.Tdss.1365;Desinfiziert.;
A0049652.sys\data001;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56\A0049652.sys;BackDoor.Bulknet.408;;
A0049652.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Container enthält infizierte Objekte;Verschoben.;
A0049739.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP57;Tool.ShutDown.14;;
A0050589.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP57;BackDoor.Tdss.1365;Desinfiziert.;
A0050589.sys\data001;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP57\A0050589.sys;BackDoor.Bulknet.408;;
A0050589.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP57;Container enthält infizierte Objekte;Verschoben.;
ndis.sys;C:\WINDOWS\system32\dllcache;BackDoor.Bulknet.417;Desinfiziert.;
atapi.sys\data001;C:\WINDOWS\system32\drivers\atapi.sys;BackDoor.Bulknet.408;;
atapi.sys;C:\WINDOWS\system32\drivers;Container enthält infizierte Objekte;Verschoben.;
OLD6B.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
OLD6B.tmp\data001;C:\WINDOWS\system32\drivers\OLD6B.tmp;BackDoor.Bulknet.408;;
OLD6B.tmp;C:\WINDOWS\system32\drivers;Container enthält infizierte Objekte;Verschoben.;
OLD6E.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;
OLD6E.tmp\data001;C:\WINDOWS\system32\drivers\OLD6E.tmp;BackDoor.Bulknet.408;;
OLD6E.tmp;C:\WINDOWS\system32\drivers;Container enthält infizierte Objekte;Verschoben.;
Ich musste "mit der letzten bekannten funktionierenden Konfiguration booten". Geändert von simagain (28.12.2009 um 15:43 Uhr) |
|
28.12.2009, 15:41
| #24 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Hi, hmm, damit ist der Backdoor wieder aktiv (atapi.sys und ndis.sys sind systemdateien, die werden mitgesichert...), er hängt ausser im Bootblock noch in der ndis.sys und der atapi.sys.... Lass jetzt unbedingt mal combofix laufen (Log posten), der müsste jetzt wieder online sein. Danach direkt neu booten und in die Rettungskonsole gehen und wieder fixmbr durchführen... Dann noch mal CF laufen lassen&Log posten... Wenn das nicht klappt, stellen wir die Dateien von Hand her... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
28.12.2009, 15:44
| #25 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Combofix log: Code:
ATTFilter ComboFix 09-12-27.03 - Simon 28.12.2009 15:32:57.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1479 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Simon\Desktop\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Simon\Anwendungsdaten\avdrn.dat
.
((((((((((((((((((((((( Dateien erstellt von 2009-11-28 bis 2009-12-28 ))))))))))))))))))))))))))))))
.
2009-12-23 10:19 . 2009-12-16 13:42 872960 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2009-12-23 10:19 . 2009-12-16 13:42 43008 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2009-12-23 10:19 . 2009-12-16 13:42 340480 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2009-12-23 10:19 . 2009-12-16 13:41 346624 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2009-12-22 16:43 . 2008-04-13 23:10 96512 -c--a-w- c:\windows\system32\dllcache\atapi.sys
2009-12-22 16:43 . 2008-04-13 23:10 96512 ----a-w- c:\windows\system32\drivers\atapi.sys
2009-12-22 12:43 . 2009-12-22 12:59 214512 ----a-w- c:\windows\system32\drivers\dwshd.sys
2009-12-11 14:59 . 2009-12-11 14:59 -------- d-----w- c:\windows\system32\config\systemprofile\Anwendungsdaten\Yahoo!
2009-12-09 14:16 . 2009-12-09 14:16 77312 ----a-w- c:\dokumente und einstellungen\Simon\mbr.exe
2009-12-07 20:44 . 2009-12-07 20:44 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-07 20:44 . 2009-12-07 20:44 -------- d-----w- c:\programme\DVDVideoSoft
2009-12-04 18:13 . 2009-12-04 18:13 -------- d-----w- C:\rsit
2009-12-04 14:47 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-04 14:47 . 2009-12-04 14:47 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-04 14:47 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-02 13:12 . 2009-12-02 13:12 182656 -c----w- c:\windows\system32\dllcache\ndis.sys
2009-12-02 13:09 . 2009-12-02 13:09 -------- d-----w- c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\TouchStoneSoftware
2009-12-01 17:26 . 2009-12-07 12:25 79488 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-30 00:02 . 2008-10-21 18:22 276443 ----a-w- c:\windows\Scheduler.exe
2009-11-29 14:42 . 2009-11-29 14:42 -------- d-----w- c:\programme\Phoenix Technologies
2009-11-29 14:20 . 2009-11-29 14:20 -------- d-----w- c:\windows\system32\wbem\Repository
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 14:18 . 2009-08-25 19:57 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Free Download Manager
2009-12-28 13:38 . 2001-08-23 12:00 84326 ----a-w- c:\windows\system32\perfc007.dat
2009-12-28 13:38 . 2001-08-23 12:00 458822 ----a-w- c:\windows\system32\perfh007.dat
2009-12-28 03:27 . 2009-03-08 14:35 -------- d-----w- c:\programme\Trillian
2009-12-28 00:49 . 2009-03-08 14:43 -------- d-----w- c:\programme\Steam
2009-12-26 03:41 . 2009-03-08 15:42 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Skype
2009-12-26 01:39 . 2009-03-08 15:44 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\skypePM
2009-12-25 14:32 . 2009-04-14 13:45 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\dvdcss
2009-12-23 00:09 . 2009-03-26 21:00 -------- d-----w- c:\programme\Super Fast Shutdown
2009-12-05 12:15 . 2009-10-25 18:43 -------- d-----w- c:\programme\Trellian
2009-12-04 18:58 . 2009-03-08 11:45 -------- d-----w- c:\programme\Opera
2009-12-03 20:42 . 2009-05-27 17:36 -------- d-----w- c:\programme\Acoustica Mixcraft 4
2009-12-02 13:12 . 2004-08-03 22:14 182656 ----a-w- c:\windows\system32\drivers\ndis.sys
2009-12-02 13:12 . 2009-12-02 13:12 12 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\hlusyf.dat
2009-12-01 22:05 . 2009-09-27 21:35 -------- d-----w- c:\programme\VstPlugins
2009-11-29 14:19 . 2009-11-27 15:48 -------- d-----w- c:\programme\Ontrack
2009-11-27 15:48 . 2009-03-08 11:01 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-11-15 19:30 . 2009-11-13 18:36 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\PACE Anti-Piracy
2009-11-15 19:30 . 2009-11-13 18:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2009-11-13 18:36 . 2009-11-13 18:36 -------- d-----w- c:\programme\Gemeinsame Dateien\PACE Anti-Piracy
2009-11-12 15:30 . 2009-11-12 14:58 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\LimeWire
2009-11-12 15:30 . 2009-11-12 14:58 -------- d-----w- c:\programme\LimeWire
2009-11-11 19:20 . 2009-03-10 15:41 1 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-11-11 10:47 . 2009-10-17 14:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-11-02 13:34 . 2009-03-15 10:33 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Bioshock
2009-05-01 21:02 . 2009-01-27 01:34 1044480 ----a-w- c:\programme\opera\program\plugins\libdivx.dll
2009-05-01 21:02 . 2009-01-27 01:34 200704 ----a-w- c:\programme\opera\program\plugins\ssldivx.dll
2009-03-15 23:57 . 2009-03-10 12:24 10289184 --sha-w- c:\windows\system32\drivers\fidbox.dat
.
((((((((((((((((((((((((((((( SnapShot@2009-12-09_13.19.38 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-28 13:34 . 2009-12-28 13:34 16384 c:\windows\Temp\Perflib_Perfdata_648.dat
+ 2004-08-03 23:57 . 2008-04-14 06:52 74752 c:\windows\system32\peyupnb.exe
+ 2001-08-23 12:00 . 2009-12-28 13:38 71060 c:\windows\system32\perfc009.dat
- 2001-08-23 12:00 . 2009-12-09 13:20 71060 c:\windows\system32\perfc009.dat
+ 2004-08-03 23:57 . 2009-02-09 10:51 18432 c:\windows\system32\drivers\zkmfnebp.sys
+ 2009-12-11 14:59 . 2009-12-11 14:59 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009121120091212\index.dat
+ 2009-03-08 10:58 . 2009-12-22 12:31 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2009-03-08 10:58 . 2009-12-09 13:09 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2009-12-11 14:59 . 2009-12-11 14:59 78924 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat
+ 2009-12-15 19:49 . 2009-12-15 19:49 16384 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\MSIMGSIZ.DAT
+ 2009-03-08 10:58 . 2009-12-22 12:31 32768 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-12-11 15:19 . 2009-12-22 12:47 32768 c:\windows\system32\config\systemprofile\Anwendungsdaten\Microsoft\Internet Explorer\UserData\index.dat
- 2001-08-23 12:00 . 2009-12-09 13:20 441124 c:\windows\system32\perfh009.dat
+ 2001-08-23 12:00 . 2009-12-28 13:38 441124 c:\windows\system32\perfh009.dat
+ 2009-03-08 10:58 . 2009-12-22 12:31 114688 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Simon\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
Trillian.lnk - c:\programme\Trillian\trillian.exe [2008-11-26 1873280]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
forteManager.lnk - c:\programme\LG Soft India\forteManager\bin\Monitor.exe [2009-8-9 1134592]
PalTalk.lnk - c:\programme\Paltalk Messenger\paltalk.exe [2009-4-25 11057664]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\day of defeat source\\hl2.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\garrysmod\\hl2.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Paltalk Messenger\\paltalk.exe"=
"c:\\Programme\\Steam\\steamapps\\simagain\\half-life 2 deathmatch\\hl2.exe"=
"c:\\Programme\\Free Download Manager\\fdm.exe"=
"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [08.03.2009 12:00 13696]
R3 LGDDCDevice;LGDDCDevice;c:\programme\LG Soft India\forteManager\bin\I2CDriver.sys [09.08.2009 01:33 14336]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [09.03.2009 23:16 4352]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [27.09.2009 14:00 1527900]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [09.03.2009 23:16 265088]
S3 LGII2CDevice;LGII2CDevice;c:\programme\LG Soft India\forteManager\bin\PII2CDriver.sys [09.08.2009 01:33 17408]
S3 PLCND532;PLCND532 NDIS Protocol Driver;c:\windows\system32\drivers\PLCND532.sys [14.12.2007 16:26 26656]
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.schnellsucher.com/?t=Q0908251707&s=h
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
FF - ProfilePath - c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.schnellsucher.com/?t=Q0908251707&s=h
FF - prefs.js: network.proxy.type - 2
FF - component: c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-28 15:41
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:c2,c7,d9,45,dc,f2,e5,38,4e,82,e6,88,e4,33,f7,ce,df,16,b0,10,f3,73,39,
2c,23,fc,f6,69,14,25,dd,9f,f5,d5,63,25,d4,f0,39,61,a6,2f,06,c0,a6,81,b0,08,\
"??"=hex:aa,d3,ad,10,3e,21,e1,5a,ee,a5,d7,2f,8a,be,03,83
[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:97,1a,27,7a,9b,1c,72,6a,c6,27,e3,ad,42,b1,5a,95,df,65,d0,87,55,
0e,4f,80,b2,9a,76,4e,56,e7,ec,ef,ab,af,94,54,29,2f,cb,95,71,1f,42,94,48,9f,\
"rkeysecu"=hex:3c,2e,31,50,70,cb,f4,7c,cd,47,02,0b,35,13,db,0c
.
Zeit der Fertigstellung: 2009-12-28 15:43:18
ComboFix-quarantined-files.txt 2009-12-28 14:43
ComboFix2.txt 2009-12-21 21:17
ComboFix3.txt 2009-12-09 13:29
Vor Suchlauf: 14 Verzeichnis(se), 22.686.597.120 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 23.769.640.960 Bytes frei
- - End Of File - - 26B41C76692373F20EEFB59885FE78F2
|
|
28.12.2009, 15:59
| #26 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Hi, sieht ok aus... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
28.12.2009, 16:00
| #27 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Combofix nach boot und mbr log: Code:
ATTFilter ComboFix 09-12-27.03 - Simon 28.12.2009 15:48:24.4.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1547 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Simon\Desktop\ComboFix.exe
.
((((((((((((((((((((((( Dateien erstellt von 2009-11-28 bis 2009-12-28 ))))))))))))))))))))))))))))))
.
2009-12-23 10:19 . 2009-12-16 13:42 872960 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2009-12-23 10:19 . 2009-12-16 13:42 43008 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2009-12-23 10:19 . 2009-12-16 13:42 340480 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2009-12-23 10:19 . 2009-12-16 13:41 346624 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2009-12-22 16:43 . 2008-04-13 23:10 96512 -c--a-w- c:\windows\system32\dllcache\atapi.sys
2009-12-22 16:43 . 2008-04-13 23:10 96512 ------w- c:\windows\system32\drivers\atapi.sys
2009-12-22 12:43 . 2009-12-22 12:59 214512 ----a-w- c:\windows\system32\drivers\dwshd.sys
2009-12-11 14:59 . 2009-12-11 14:59 -------- d-----w- c:\windows\system32\config\systemprofile\Anwendungsdaten\Yahoo!
2009-12-09 14:16 . 2009-12-09 14:16 77312 ----a-w- c:\dokumente und einstellungen\Simon\mbr.exe
2009-12-07 20:44 . 2009-12-07 20:44 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-12-07 20:44 . 2009-12-07 20:44 -------- d-----w- c:\programme\DVDVideoSoft
2009-12-04 18:13 . 2009-12-04 18:13 -------- d-----w- C:\rsit
2009-12-04 14:47 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-04 14:47 . 2009-12-04 14:47 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-12-04 14:47 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-02 13:12 . 2009-12-02 13:12 182656 -c----w- c:\windows\system32\dllcache\ndis.sys
2009-12-02 13:09 . 2009-12-02 13:09 -------- d-----w- c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\TouchStoneSoftware
2009-12-01 17:26 . 2009-12-07 12:25 79488 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-30 00:02 . 2008-10-21 18:22 276443 ----a-w- c:\windows\Scheduler.exe
2009-11-29 14:42 . 2009-11-29 14:42 -------- d-----w- c:\programme\Phoenix Technologies
2009-11-29 14:20 . 2009-11-29 14:20 -------- d-----w- c:\windows\system32\wbem\Repository
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-28 14:50 . 2001-08-23 12:00 84326 ----a-w- c:\windows\system32\perfc007.dat
2009-12-28 14:50 . 2001-08-23 12:00 458822 ----a-w- c:\windows\system32\perfh007.dat
2009-12-28 14:18 . 2009-08-25 19:57 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Free Download Manager
2009-12-28 03:27 . 2009-03-08 14:35 -------- d-----w- c:\programme\Trillian
2009-12-28 00:49 . 2009-03-08 14:43 -------- d-----w- c:\programme\Steam
2009-12-26 03:41 . 2009-03-08 15:42 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Skype
2009-12-26 01:39 . 2009-03-08 15:44 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\skypePM
2009-12-25 14:32 . 2009-04-14 13:45 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\dvdcss
2009-12-23 00:09 . 2009-03-26 21:00 -------- d-----w- c:\programme\Super Fast Shutdown
2009-12-05 12:15 . 2009-10-25 18:43 -------- d-----w- c:\programme\Trellian
2009-12-04 18:58 . 2009-03-08 11:45 -------- d-----w- c:\programme\Opera
2009-12-03 20:42 . 2009-05-27 17:36 -------- d-----w- c:\programme\Acoustica Mixcraft 4
2009-12-02 13:12 . 2004-08-03 22:14 182656 ------w- c:\windows\system32\drivers\ndis.sys
2009-12-02 13:12 . 2009-12-02 13:12 12 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\hlusyf.dat
2009-12-01 22:05 . 2009-09-27 21:35 -------- d-----w- c:\programme\VstPlugins
2009-11-29 14:19 . 2009-11-27 15:48 -------- d-----w- c:\programme\Ontrack
2009-11-27 15:48 . 2009-03-08 11:01 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-11-15 19:30 . 2009-11-13 18:36 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\PACE Anti-Piracy
2009-11-15 19:30 . 2009-11-13 18:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2009-11-13 18:36 . 2009-11-13 18:36 -------- d-----w- c:\programme\Gemeinsame Dateien\PACE Anti-Piracy
2009-11-12 15:30 . 2009-11-12 14:58 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\LimeWire
2009-11-12 15:30 . 2009-11-12 14:58 -------- d-----w- c:\programme\LimeWire
2009-11-11 19:20 . 2009-03-10 15:41 1 ----a-w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-11-11 10:47 . 2009-10-17 14:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2009-11-02 13:34 . 2009-03-15 10:33 -------- d-----w- c:\dokumente und einstellungen\Simon\Anwendungsdaten\Bioshock
2009-05-01 21:02 . 2009-01-27 01:34 1044480 ----a-w- c:\programme\opera\program\plugins\libdivx.dll
2009-05-01 21:02 . 2009-01-27 01:34 200704 ----a-w- c:\programme\opera\program\plugins\ssldivx.dll
2009-03-15 23:57 . 2009-03-10 12:24 10289184 --sha-w- c:\windows\system32\drivers\fidbox.dat
.
((((((((((((((((((((((((((((( SnapShot@2009-12-09_13.19.38 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-28 14:46 . 2009-12-28 14:46 16384 c:\windows\Temp\Perflib_Perfdata_638.dat
+ 2004-08-03 23:57 . 2008-04-14 06:52 74752 c:\windows\system32\peyupnb.exe
+ 2001-08-23 12:00 . 2009-12-28 14:50 71060 c:\windows\system32\perfc009.dat
- 2001-08-23 12:00 . 2009-12-09 13:20 71060 c:\windows\system32\perfc009.dat
+ 2004-08-03 23:57 . 2009-02-09 10:51 18432 c:\windows\system32\drivers\zkmfnebp.sys
+ 2009-12-11 14:59 . 2009-12-11 14:59 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009121120091212\index.dat
+ 2009-03-08 10:58 . 2009-12-22 12:31 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2009-03-08 10:58 . 2009-12-09 13:09 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2009-12-11 14:59 . 2009-12-11 14:59 78924 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat
+ 2009-12-15 19:49 . 2009-12-15 19:49 16384 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\MSIMGSIZ.DAT
+ 2009-12-11 15:19 . 2009-12-22 12:47 32768 c:\windows\system32\config\systemprofile\Anwendungsdaten\Microsoft\Internet Explorer\UserData\index.dat
- 2001-08-23 12:00 . 2009-12-09 13:20 441124 c:\windows\system32\perfh009.dat
+ 2001-08-23 12:00 . 2009-12-28 14:50 441124 c:\windows\system32\perfh009.dat
+ 2009-03-08 10:58 . 2009-12-22 12:31 114688 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Simon\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
Trillian.lnk - c:\programme\Trillian\trillian.exe [2008-11-26 1873280]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
forteManager.lnk - c:\programme\LG Soft India\forteManager\bin\Monitor.exe [2009-8-9 1134592]
PalTalk.lnk - c:\programme\Paltalk Messenger\paltalk.exe [2009-4-25 11057664]
R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [08.03.2009 12:00 13696]
R3 LGDDCDevice;LGDDCDevice;c:\programme\LG Soft India\forteManager\bin\I2CDriver.sys [09.08.2009 01:33 14336]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [09.03.2009 23:16 4352]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [27.09.2009 14:00 1527900]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [09.03.2009 23:16 265088]
S3 LGII2CDevice;LGII2CDevice;c:\programme\LG Soft India\forteManager\bin\PII2CDriver.sys [09.08.2009 01:33 17408]
S3 PLCND532;PLCND532 NDIS Protocol Driver;c:\windows\system32\drivers\PLCND532.sys [14.12.2007 16:26 26656]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
ERSvc
FastUserSwitchingCompatibility
HidServ
LanmanServer
LanmanWorkstation
Messenger
Nla
NWCWorkstation
Schedule
Seclogon
SRService
Themes
TrkWks
W32Time
Wmi
WmdmPmSp
winmgmt
wscsvc
xmlprov
BITS
wuauserv
ShellHWDetection
helpsvc
napagent
hkmsvc
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.schnellsucher.com/?t=Q0908251707&s=h
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
FF - ProfilePath - c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.schnellsucher.com/?t=Q0908251707&s=h
FF - prefs.js: network.proxy.type - 2
FF - component: c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-28 15:55
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:c2,c7,d9,45,dc,f2,e5,38,4e,82,e6,88,e4,33,f7,ce,df,16,b0,10,f3,73,39,
2c,23,fc,f6,69,14,25,dd,9f,f5,d5,63,25,d4,f0,39,61,a6,2f,06,c0,a6,81,b0,08,\
"??"=hex:aa,d3,ad,10,3e,21,e1,5a,ee,a5,d7,2f,8a,be,03,83
[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:97,1a,27,7a,9b,1c,72,6a,c6,27,e3,ad,42,b1,5a,95,df,65,d0,87,55,
0e,4f,80,b2,9a,76,4e,56,e7,ec,ef,ab,af,94,54,29,2f,cb,95,71,1f,42,94,48,9f,\
"rkeysecu"=hex:3c,2e,31,50,70,cb,f4,7c,cd,47,02,0b,35,13,db,0c
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(3624)
c:\programme\Trillian\events.dll
.
Zeit der Fertigstellung: 2009-12-28 15:56:50
ComboFix-quarantined-files.txt 2009-12-28 14:56
ComboFix2.txt 2009-12-28 14:43
ComboFix3.txt 2009-12-21 21:17
ComboFix4.txt 2009-12-09 13:29
Vor Suchlauf: 14 Verzeichnis(se), 23.779.790.848 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 23.742.775.296 Bytes frei
- - End Of File - - 11B6B500F29193B9B999753BADD701FD
Wo finde ich das mbr log jetz nachdem ich mbr /f ausgeführt habe? nun hat combofix glaube ich garnichtsmehr gefunden? |
|
28.12.2009, 16:16
| #28 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Ja, CF sieht gut aus... In dem Verzeichnis wo mbr.exe liegt findest Du das Log, poste es im Thread; Als letztes bitte noch mal GMER laufen lassen...: Gmer: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Mache auf jeden Fall den kompletten Rootkitscann... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
08.01.2010, 03:29
| #29 |
| |  Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Also laut Heisse sind derzeit einige unbekannte Attacken am laufen, die Leute mit Trojanern infizieren, die dann ihrerseits Spamprozesse nachladen. Mich hats ohne eigenes zutun kürzlich auch erwischt. In meinem Fall hat die "services.exe" den Spam versendet, also nicht die services.exe selbst, sondern ein an sie angeschlossener Treiber. Schau doch mal in c:\windows\system32\drivers nach und lass Dir alle Dateien mal nach Datum anzeigen. Schau Dir dort den allerletzten Eintrag an. Ist dort eine sys Datei drin, die kürzlich angelegt wurde, ohne das Du einen Treiber o.ä. installiert hast (und die zudem einen völlig zufallsgenerierten Namen hat), dann weißt Du "was" bei Dir spammt ;-) Das ganze rumdoktoren am Trojaner bringt nix, weil der eigentliche Spamprozess noch immer aktiv ist. Einfach mal auf Deine Internetverbindung im Task Manager achten, oder TCPView laden und schauen ob sich ein Prozess zu massig vielen Mailservern verbindet! Ich denke die aktuelle Aktion die gerade abläuft, von der noch nichtmal heisse den Grund kennt (es ist nur bekannt, dass in letzter Zeit immer mehr Windowsrechner wie von Geisterhand beginnen Spam zu senden), wird noch eine riesen Sache! |
|
08.01.2010, 11:31
| #30 |
| | Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen Hi, danke für den Hinweis, CF zeigt deshalb veränderte Dateien an... Der einzigst Treiber wäre (neben der "neuen" atapi.sys): c:\windows\system32\drivers\dwshd.sys Suchen wir doch mal in der Reg.: Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) dwshd.sys in edit und klicke "Ok". Notepad wird sich oeffnen - poste den text Da sich der User allerdings länger nicht mehr gemeldet hat, gehe ich davon aus, dass sich das Problem erledigt hat... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen |
| ask toolbar, ask.com, ausspioniert, bho, cdburnerxp, computer, e-mail, email, entfernen, firefox, frage, free download, helper, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet explorer, kunde, locker, logfile, magix, mozilla, nicht gefunden, object, personen, plug-in, problem, security, server, stick, system, thomas, trojaner, virus, web.de, wichtige daten, windows, windows xp, ändern |
Linear-Darstellung
