TR/Dropper.Gen

Patlok · 14.01.2010, 20:57

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\DOKUME~1\JAN-HE~1\ANWEND~1\MICROS~1\INSTAL~1\{95921~1\_303D9~1.EXE" deleted successfully.
File "C:\WINDOWS\3Gsauron.INI" deleted successfully.
Registry key "HKLM\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Jan-Hendrik^Startmenü^Programme^Autostart^ICQ-Tools.de Launcher.lnk" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

cosinus · 14.01.2010, 21:01

Na also geht doch mit dem Lesen!

Einmal bitte noch den Gripskasten anstrengen und aufmerksam lesen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Patlok · 14.01.2010, 21:19

ComboFix 10-01-14.01 - Jan-Hendrik 14.01.2010 21:10:23.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1022.575 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Jan-Hendrik\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\sysdm.exe

c:\windows\system32\midimap.dll . . . ist infiziert!!

.
((((((((((((((((((((((( Dateien erstellt von 2009-12-14 bis 2010-01-14 ))))))))))))))))))))))))))))))
.

2010-01-14 19:30 . 2010-01-14 19:30 -------- d-----w- C:\rsit
2010-01-14 19:30 . 2010-01-14 19:30 -------- d-----w- c:\programme\trend micro
2010-01-11 12:23 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-11 12:23 . 2010-01-12 19:23 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-11 12:23 . 2010-01-11 12:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-11 12:23 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-27 14:43 . 2009-12-27 14:46 -------- d-----w- c:\programme\ICQ Self Remover
2009-12-20 12:26 . 2010-01-07 15:44 -------- d-----w- c:\programme\SRWare Iron
2009-12-18 12:18 . 2006-11-29 12:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll
2009-12-18 12:18 . 2006-09-28 15:05 2414360 ----a-w- c:\windows\system32\d3dx9_31.dll
2009-12-18 12:17 . 2009-12-18 12:17 -------- d-----w- c:\windows\Logs

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-14 19:40 . 2009-08-17 12:31 -------- d-----w- c:\programme\Mozilla Thunderbird
2009-12-18 20:38 . 2009-01-05 18:30 -------- d-----w- c:\programme\SpacialAudio
2009-12-18 12:18 . 2009-07-09 15:58 -------- d-----w- c:\programme\Winamp
2009-12-09 19:09 . 2008-11-07 16:33 -------- d-----w- c:\programme\Gameforge4D
2009-12-07 19:23 . 2009-05-15 19:03 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-07 14:19 . 2009-04-14 15:22 -------- d-----w- c:\programme\SpeedFan
2009-12-06 20:55 . 2009-12-06 20:55 -------- d-----w- c:\programme\mathepower.de
2009-12-06 12:15 . 2008-11-09 15:09 -------- d-----w- c:\programme\Java
2009-11-28 13:04 . 2009-11-28 13:04 1166286 ----a-w- c:\windows\system32\SpongeBob.scr
2009-11-25 14:45 . 2008-11-28 18:28 -------- d-----w- c:\programme\Opera
2009-11-20 16:41 . 2009-10-18 15:51 -------- d-----w- c:\programme\Safari
2009-11-04 12:46 . 2001-08-18 12:00 79910 ----a-w- c:\windows\system32\perfc007.dat
2009-11-04 12:46 . 2001-08-18 12:00 448470 ----a-w- c:\windows\system32\perfh007.dat
2009-10-18 16:16 . 2009-06-13 21:58 22672 ---ha-w- c:\windows\system32\mlfcache.dat
2009-02-17 10:34 . 2009-02-17 10:34 28672 ----a-w- c:\programme\LaMaster - Autostarter.exe
2009-02-02 13:23 . 2009-02-02 13:23 4286 ----a-w- c:\programme\lamaster icon3 32.ico
2009-02-02 13:20 . 2009-02-02 13:20 1150 ----a-w- c:\programme\lamaster icon3 16.ico
2009-02-02 11:48 . 2009-02-02 11:48 35775 ----a-w- c:\programme\lamaster setup.jpg
2009-02-02 09:53 . 2009-02-02 09:53 23462 ----a-w- c:\programme\LaMaster.de-licence.rtf
2008-11-13 18:04 . 2008-11-13 18:04 41582 ----a-w- c:\programme\setup.jpg
2009-09-25 16:41 . 2009-09-25 16:41 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-09-25 16:41 . 2009-09-25 16:41 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

------- Sigcheck -------

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\winlogon.exe
[-] 2004-08-03 . CAEF653D55CC8D7A173E4E63BC58D7F2 . 546816 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[-] 2004-08-03 . CAEF653D55CC8D7A173E4E63BC58D7F2 . 546816 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
[-] 2001-08-18 . 4414F832E52F6E9E1BBB021E8A4323C5 . 474624 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\winlogon.exe

[-] 2008-04-14 . AD28671D1B83A386B070DC451A113C13 . 617472 . . [5.82] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\comctl32.dll
[-] 2008-04-14 . 3C93CE6C6985C55952B7BE6673E9FD15 . 1054208 . . [6.0] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\asms\60\msft\windows\common\controls\comctl32.dll
[-] 2004-08-03 . 78CB6A557486D498264BF3E6728AF81A . 718848 . . [5.82] . . c:\windows\ServicePackFiles\i386\comctl32.dll
[-] 2004-08-03 . 78CB6A557486D498264BF3E6728AF81A . 718848 . . [5.82] . . c:\windows\system32\comctl32.dll
[-] 2001-08-18 . 69683B517350C9C0CC20E78FD7EDC877 . 665088 . . [5.82] . . c:\windows\$NtServicePackUninstall$\comctl32.dll

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\explorer.exe
[-] 2004-08-03 . E8535CD4313DBAF191BA7945665126C3 . 4921344 . . [6.00.2900.2180] . . c:\windows\explorer.exe
[-] 2004-08-03 . E8535CD4313DBAF191BA7945665126C3 . 4921344 . . [6.00.2900.2180] . . c:\windows\ServicePackFiles\i386\explorer.exe
[-] 2004-08-03 . E74DD582DF778B6B4725F09815109749 . 1553920 . . [6.00.2900.2180] . . c:\windows\VCP_SAVE\explorer.exe
[-] 2001-08-18 . E64373470C8B85C75BCBDDEB7656DBCD . 1522688 . . [6.00.2600.0000] . . c:\windows\$NtServicePackUninstall$\explorer.exe

[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\ctfmon.exe
[-] 2004-08-03 . 99203E789DA6E756EA34A8F836F4E99E . 25088 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2004-08-03 . 99203E789DA6E756EA34A8F836F4E99E . 25088 . . [5.1.2600.2180] . . c:\windows\system32\ctfmon.exe
[-] 2001-08-18 . 98036FF9094FB1E5A6AC56568D9B9B15 . 23040 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Shockwave Updater"="c:\windows\system32\Adobe\Shockwave 11\SwHelper_1151601.exe" [2009-07-21 468408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GUI"="c:\d-link\AirPlusG+\AirPlus.exe" [2005-08-24 1474560]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"AutoTG-LobbyPatcher"="c:\programme\Tagoria-Lobby\Auto-TG-Update.exe" [2009-05-17 228352]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2009-01-07 1468296]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 25088]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
D-Link AirPlus G+ Wireless Utility.lnk - c:\d-link\AirPlusG+\AirPlus.exe [2008-11-6 1474560]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoTG-LobbyPatcher]
2009-05-17 13:27 228352 ----a-w- c:\programme\Tagoria-Lobby\Auto-TG-Update.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2009-12-18 00:30 39424 ----a-w- c:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Valve\\hl.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Proxy1984\\Tor\\Tor.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [06.11.2008 18:59 17920]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.10.2009 18:19 108289]
R3 TNET1130;D-Link AirPlus G+ Wireless Adapter;c:\windows\system32\drivers\GPlus_XP.sys [06.11.2008 18:50 439296]
S2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\programme\Firebird\Firebird_2_1\bin\fbguard.exe -s DefaultInstance --> c:\programme\Firebird\Firebird_2_1\bin\fbguard.exe -s DefaultInstance [?]
S3 AIDA32Driver;AIDA32Driver;\??\c:\dokume~1\JAN-HE~1\LOKALE~1\Temp\Rar$EX00.156\aida32.sys --> c:\dokume~1\JAN-HE~1\LOKALE~1\Temp\Rar$EX00.156\aida32.sys [?]
S3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\programme\Firebird\Firebird_2_1\bin\fbserver.exe -s DefaultInstance --> c:\programme\Firebird\Firebird_2_1\bin\fbserver.exe -s DefaultInstance [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\f:\ntglm7x.sys --> f:\NTGLM7X.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2009-11-14 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
Trusted Zone: google.de
Trusted Zone: wurzelimperium.de
Trusted Zone: wurzelimperium.de\s26
FF - ProfilePath - c:\dokumente und einstellungen\Jan-Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\a77c3p90.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.de/search?q=
FF - prefs.js: browser.search.selectedEngine - Google (Language: DE)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=
FF - plugin: c:\programme\Opera 10 Beta\program\plugins\npqtplugin.dll
FF - plugin: c:\programme\Opera 10 Beta\program\plugins\npqtplugin2.dll
FF - plugin: c:\programme\Opera 10 Beta\program\plugins\npqtplugin3.dll
FF - plugin: c:\programme\Opera 10 Beta\program\plugins\npqtplugin4.dll
FF - plugin: c:\programme\Opera 10 Beta\program\plugins\npqtplugin5.dll
FF - plugin: c:\programme\Opera 10 Beta\program\plugins\npqtplugin6.dll
FF - plugin: c:\programme\Opera 10 Beta\program\plugins\npqtplugin7.dll
FF - plugin: c:\programme\Unity\WebPlayer\loader\npUnity3D32.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-14 21:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1275210071-1580818891-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CCC0E570-66F6-46B7-095B-665D60DA70F3}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iaobiibejjdedgnfil"=hex:69,61,70,6b,68,6f,70,64,6e,6a,63,65,62,6d,67,64,6e,6e,
00,00
"haedooaookmokggo"=hex:6b,61,6c,6b,66,69,68,67,61,69,66,6c,6a,61,70,6a,64,62,
68,6a,64,68,00,00
"iakaamdlkclioealpj"=hex:63,61,6d,6b,63,6f,00,7c
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(828)
c:\windows\system32\sfc_os.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll
c:\windows\system32\COMRes.dll
.
Zeit der Fertigstellung: 2010-01-14 21:17:11
ComboFix-quarantined-files.txt 2010-01-14 20:16

Vor Suchlauf: 5.628.547.072 Bytes frei
Nach Suchlauf: 5.609.750.528 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - F04AD5B751001587FCDB35D8FF6E39B1

cosinus · 14.01.2010, 21:27

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

KILLALL::

File::
c:\windows\system32\midimap.dll

RegNull::
[HKEY_USERS\S-1-5-21-1275210071-1580818891-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CCC0E570-66F6-46B7-095B-665D60DA70F3}*]

Driver::
AIDA32Driver

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7.) Falls Windows meckert er vermisse die Datei midimap.dll, dann bitte diese Datei von hier nach c:\windows\system32 kopieren

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Patlok · 14.01.2010, 21:33

Funktioniert nicht.

Wenn ich dass da rauf ziehe dann macht er das selbe wie eben noch einmal!

cosinus · 14.01.2010, 21:35

Ja, das ist auch Sinn und Zweck das Ganzen

Weil Combofix damit neu gestartet wird aber mit speziellen Parametern!

Patlok · 14.01.2010, 21:50

ComboFix 10-01-14.01 - Jan-Hendrik 14.01.2010 21:37:00.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1022.555 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Jan-Hendrik\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Jan-Hendrik\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\system32\midimap.dll"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\midimap.dll . . . ist infiziert!!

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AIDA32DRIVER
-------\Service_AIDA32Driver

((((((((((((((((((((((( Dateien erstellt von 2009-12-14 bis 2010-01-14 ))))))))))))))))))))))))))))))
.

2010-01-14 19:30 . 2010-01-14 19:30 -------- d-----w- C:\rsit
2010-01-14 19:30 . 2010-01-14 19:30 -------- d-----w- c:\programme\trend micro
2010-01-11 12:23 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-11 12:23 . 2010-01-12 19:23 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-11 12:23 . 2010-01-11 12:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-11 12:23 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-27 14:43 . 2009-12-27 14:46 -------- d-----w- c:\programme\ICQ Self Remover
2009-12-20 12:26 . 2010-01-07 15:44 -------- d-----w- c:\programme\SRWare Iron
2009-12-18 12:18 . 2006-11-29 12:06 3426072 ----a-w- c:\windows\system32\d3dx9_32.dll
2009-12-18 12:18 . 2006-09-28 15:05 2414360 ----a-w- c:\windows\system32\d3dx9_31.dll
2009-12-18 12:17 . 2009-12-18 12:17 -------- d-----w- c:\windows\Logs

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-14 19:40 . 2009-08-17 12:31 -------- d-----w- c:\programme\Mozilla Thunderbird
2009-12-18 20:38 . 2009-01-05 18:30 -------- d-----w- c:\programme\SpacialAudio
2009-12-18 12:18 . 2009-07-09 15:58 -------- d-----w- c:\programme\Winamp
2009-12-09 19:09 . 2008-11-07 16:33 -------- d-----w- c:\programme\Gameforge4D
2009-12-07 19:23 . 2009-05-15 19:03 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-07 14:19 . 2009-04-14 15:22 -------- d-----w- c:\programme\SpeedFan
2009-12-06 20:55 . 2009-12-06 20:55 -------- d-----w- c:\programme\mathepower.de
2009-12-06 12:15 . 2008-11-09 15:09 -------- d-----w- c:\programme\Java
2009-11-28 13:04 . 2009-11-28 13:04 1166286 ----a-w- c:\windows\system32\SpongeBob.scr
2009-11-25 14:45 . 2008-11-28 18:28 -------- d-----w- c:\programme\Opera
2009-11-20 16:41 . 2009-10-18 15:51 -------- d-----w- c:\programme\Safari
2009-11-04 12:46 . 2001-08-18 12:00 79910 ----a-w- c:\windows\system32\perfc007.dat
2009-11-04 12:46 . 2001-08-18 12:00 448470 ----a-w- c:\windows\system32\perfh007.dat
2009-10-18 16:16 . 2009-06-13 21:58 22672 ---ha-w- c:\windows\system32\mlfcache.dat
2009-02-17 10:34 . 2009-02-17 10:34 28672 ----a-w- c:\programme\LaMaster - Autostarter.exe
2009-02-02 13:23 . 2009-02-02 13:23 4286 ----a-w- c:\programme\lamaster icon3 32.ico
2009-02-02 13:20 . 2009-02-02 13:20 1150 ----a-w- c:\programme\lamaster icon3 16.ico
2009-02-02 11:48 . 2009-02-02 11:48 35775 ----a-w- c:\programme\lamaster setup.jpg
2009-02-02 09:53 . 2009-02-02 09:53 23462 ----a-w- c:\programme\LaMaster.de-licence.rtf
2008-11-13 18:04 . 2008-11-13 18:04 41582 ----a-w- c:\programme\setup.jpg
2009-09-25 16:41 . 2009-09-25 16:41 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-09-25 16:41 . 2009-09-25 16:41 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.

------- Sigcheck -------

[-] 2008-04-14 . F09A527B422E25C478E38CAA0E44417A . 513024 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\winlogon.exe
[-] 2004-08-03 . CAEF653D55CC8D7A173E4E63BC58D7F2 . 546816 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\winlogon.exe
[-] 2004-08-03 . CAEF653D55CC8D7A173E4E63BC58D7F2 . 546816 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
[-] 2001-08-18 . 4414F832E52F6E9E1BBB021E8A4323C5 . 474624 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\winlogon.exe

[-] 2008-04-14 . AD28671D1B83A386B070DC451A113C13 . 617472 . . [5.82] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\comctl32.dll
[-] 2008-04-14 . 3C93CE6C6985C55952B7BE6673E9FD15 . 1054208 . . [6.0] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\asms\60\msft\windows\common\controls\comctl32.dll
[-] 2004-08-03 . 78CB6A557486D498264BF3E6728AF81A . 718848 . . [5.82] . . c:\windows\ServicePackFiles\i386\comctl32.dll
[-] 2004-08-03 . 78CB6A557486D498264BF3E6728AF81A . 718848 . . [5.82] . . c:\windows\system32\comctl32.dll
[-] 2001-08-18 . 69683B517350C9C0CC20E78FD7EDC877 . 665088 . . [5.82] . . c:\windows\$NtServicePackUninstall$\comctl32.dll

[-] 2008-04-14 . 418045A93CD87A352098AB7DABE1B53E . 1036800 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\explorer.exe
[-] 2004-08-03 . E8535CD4313DBAF191BA7945665126C3 . 4921344 . . [6.00.2900.2180] . . c:\windows\explorer.exe
[-] 2004-08-03 . E8535CD4313DBAF191BA7945665126C3 . 4921344 . . [6.00.2900.2180] . . c:\windows\ServicePackFiles\i386\explorer.exe
[-] 2004-08-03 . E74DD582DF778B6B4725F09815109749 . 1553920 . . [6.00.2900.2180] . . c:\windows\VCP_SAVE\explorer.exe
[-] 2001-08-18 . E64373470C8B85C75BCBDDEB7656DBCD . 1522688 . . [6.00.2600.0000] . . c:\windows\$NtServicePackUninstall$\explorer.exe

[-] 2008-04-14 . 01B4E6E990B6C5EA8856D96C7FD044B2 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\d6e3dc2f83dced7b895c659826dc16b1\ctfmon.exe
[-] 2004-08-03 . 99203E789DA6E756EA34A8F836F4E99E . 25088 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2004-08-03 . 99203E789DA6E756EA34A8F836F4E99E . 25088 . . [5.1.2600.2180] . . c:\windows\system32\ctfmon.exe
[-] 2001-08-18 . 98036FF9094FB1E5A6AC56568D9B9B15 . 23040 . . [5.1.2600.0] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Shockwave Updater"="c:\windows\system32\Adobe\Shockwave 11\SwHelper_1151601.exe" [2009-07-21 468408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GUI"="c:\d-link\AirPlusG+\AirPlus.exe" [2005-08-24 1474560]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"AutoTG-LobbyPatcher"="c:\programme\Tagoria-Lobby\Auto-TG-Update.exe" [2009-05-17 228352]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\ipoint.exe" [2009-01-07 1468296]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 25088]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
D-Link AirPlus G+ Wireless Utility.lnk - c:\d-link\AirPlusG+\AirPlus.exe [2008-11-6 1474560]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoTG-LobbyPatcher]
2009-05-17 13:27 228352 ----a-w- c:\programme\Tagoria-Lobby\Auto-TG-Update.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2009-12-18 00:30 39424 ----a-w- c:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Valve\\hl.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Proxy1984\\Tor\\Tor.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [06.11.2008 18:59 17920]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.10.2009 18:19 108289]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\programme\Firebird\Firebird_2_1\bin\fbguard.exe -s DefaultInstance --> c:\programme\Firebird\Firebird_2_1\bin\fbguard.exe -s DefaultInstance [?]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\programme\Firebird\Firebird_2_1\bin\fbserver.exe -s DefaultInstance --> c:\programme\Firebird\Firebird_2_1\bin\fbserver.exe -s DefaultInstance [?]
R3 TNET1130;D-Link AirPlus G+ Wireless Adapter;c:\windows\system32\drivers\GPlus_XP.sys [06.11.2008 18:50 439296]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\f:\ntglm7x.sys --> f:\NTGLM7X.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2009-11-14 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
Trusted Zone: google.de
Trusted Zone: wurzelimperium.de
Trusted Zone: wurzelimperium.de\s26
FF - ProfilePath - c:\dokumente und einstellungen\Jan-Hendrik\Anwendungsdaten\Mozilla\Firefox\Profiles\a77c3p90.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.de/search?q=
FF - prefs.js: browser.search.selectedEngine - Google (Language: DE)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=
FF - plugin: c:\programme\Unity\WebPlayer\loader\npUnity3D32.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-14 21:44
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(828)
c:\windows\system32\sfc_os.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll
c:\windows\system32\COMRes.dll

- - - - - - - > 'explorer.exe'(2912)
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32\LINKINFO.dll
c:\windows\system32\ntshrui.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\stobject.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\ATI Technologies\ATI.ACE\CLI.EXE
c:\programme\Microsoft IntelliPoint\dpupdchk.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Firebird\Firebird_2_1\bin\fbguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Firebird\Firebird_2_1\bin\fbserver.exe
c:\programme\ATI Technologies\ATI.ACE\cli.exe
c:\programme\ATI Technologies\ATI.ACE\cli.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-14 21:48:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-14 20:48
ComboFix2.txt 2010-01-14 20:17

Vor Suchlauf: 5.668.016.128 Bytes frei
Nach Suchlauf: 5.582.077.952 Bytes frei

- - End Of File - - 0D77960D657C3F10D8DC2B6F810A5EFF

Patlok · 14.01.2010, 22:30

Bin nun erstmal bis morgen weg!
Was sind die weiteren schritte?

Vielen Dank schonmal für deine Hilfe

cosinus · 15.01.2010, 08:55

Mach nun bitte einen Kontrollscan mit Malwarebytes - Malwarebytes bitte vorher aktualisieren!

Patlok · 15.01.2010, 15:40

Noch net ganz fertig und infizierte objekte: 6

cosinus · 15.01.2010, 16:03

Toll. Damit kann ich nichts anfangen => Log posten!!

Patlok · 15.01.2010, 16:10

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3568
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

15.01.2010 16:09:21
mbam-log-2010-01-15 (16-09-21).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 176616
Laufzeit: 1 hour(s), 33 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{1504B304-2D9F-41F7-9B07-C512A1DF4D43}\RP199\A0031826.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1504B304-2D9F-41F7-9B07-C512A1DF4D43}\RP199\A0031857.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1504B304-2D9F-41F7-9B07-C512A1DF4D43}\RP199\A0031904.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1504B304-2D9F-41F7-9B07-C512A1DF4D43}\RP199\A0031956.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1504B304-2D9F-41F7-9B07-C512A1DF4D43}\RP199\A0032027.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1504B304-2D9F-41F7-9B07-C512A1DF4D43}\RP199\A0032180.sys (Malware.Trace) -> Quarantined and deleted successfully.

___
Hat dass überhaupt ein Sinn?
Die erstellen sich doch immer wieder neu oder nicht?!

cosinus · 15.01.2010, 16:10

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Patlok · 15.01.2010, 16:13

Der Haken ist drinne und ich hab auf übernehmen geklickt...

Jetzt wieder rausnehmen und wieder auf übernehmen oder?

cosinus · 15.01.2010, 16:24

Ja........

14.01.2010, 21:35	#21
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Dropper.Gen Ja, das ist auch Sinn und Zweck das Ganzen Weil Combofix damit neu gestartet wird aber mit speziellen Parametern! __________________ --> TR/Dropper.Gen

15.01.2010, 08:55	#24
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Dropper.Gen Mach nun bitte einen Kontrollscan mit Malwarebytes - Malwarebytes bitte vorher aktualisieren! __________________ Logfiles bitte immer in CODE-Tags posten

15.01.2010, 16:03	#26
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Dropper.Gen Toll. Damit kann ich nichts anfangen => Log posten!! __________________ Logfiles bitte immer in CODE-Tags posten

15.01.2010, 16:10	#28
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Dropper.Gen Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. __________________ Logfiles bitte immer in CODE-Tags posten

15.01.2010, 16:24	#30
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TR/Dropper.Gen Ja........ __________________ Logfiles bitte immer in CODE-Tags posten

TR/Dropper.Gen

Plagegeister aller Art und deren Bekämpfung: TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

TR/Dropper.Gen

Ähnliche Themen: TR/Dropper.Gen

14.01.2010, 21:33	#20
Patlok	TR/Dropper.Gen Funktioniert nicht. Wenn ich dass da rauf ziehe dann macht er das selbe wie eben noch einmal!

14.01.2010, 22:30	#23
Patlok	TR/Dropper.Gen Bin nun erstmal bis morgen weg! Was sind die weiteren schritte? Vielen Dank schonmal für deine Hilfe

15.01.2010, 15:40	#25
Patlok	TR/Dropper.Gen Noch net ganz fertig und infizierte objekte: 6

15.01.2010, 16:13	#29
Patlok	TR/Dropper.Gen Der Haken ist drinne und ich hab auf übernehmen geklickt... Jetzt wieder rausnehmen und wieder auf übernehmen oder?