Injector.HC und Adload_r.KN in C:\WINDOWS\system32\

kapokat · 15.01.2010, 23:55

Hallo Arne,

danke schonmal für deine Antwort!
Das Programm Arabica ist das von dir verlinkte. Ich habe es allerdings schon ewig nicht mehr benutzt und könnte es auch mal vollständig löschen...
ComboFix habe ich nun durchgeführt und dabei sind die folgenden logdaten herausgekommen:

ComboFix 10-01-15.01 - **** 15.01.2010 22:52:04.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1014.377 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\cofi.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\KATHAR~1\LOKALE~1\Temp\E_N4
c:\dokume~1\KATHAR~1\LOKALE~1\Temp\E_N4\cnvpe.fne
c:\dokume~1\KATHAR~1\LOKALE~1\Temp\E_N4\dp1.fne
c:\dokume~1\KATHAR~1\LOKALE~1\Temp\E_N4\eAPI.fne
c:\dokume~1\KATHAR~1\LOKALE~1\Temp\E_N4\HtmlView.fne
c:\dokume~1\KATHAR~1\LOKALE~1\Temp\E_N4\internet.fne
c:\dokume~1\KATHAR~1\LOKALE~1\Temp\E_N4\krnln.fnr
c:\dokume~1\KATHAR~1\LOKALE~1\Temp\E_N4\shell.fne
c:\dokume~1\KATHAR~1\LOKALE~1\Temp\E_N4\spec.fne
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-12-15 bis 2010-01-15 ))))))))))))))))))))))))))))))
.

2010-01-15 14:34 . 2010-01-15 14:35 -------- d-----w- c:\programme\trend micro
2010-01-15 14:34 . 2010-01-15 14:35 -------- d-----w- C:\rsit
2010-01-15 12:03 . 2010-01-15 12:03 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Malwarebytes
2010-01-15 12:03 . 2010-01-07 14:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-15 12:03 . 2010-01-15 12:03 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-15 12:03 . 2010-01-15 12:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-15 12:03 . 2010-01-07 14:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-15 11:31 . 2010-01-15 11:31 388096 ----a-r- c:\dokumente und einstellungen\****\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-11 18:18 . 2010-01-11 18:18 -------- d-----w- c:\programme\CCleaner
2010-01-11 17:35 . 2010-01-11 17:35 -------- d-----w- c:\programme\Enigma Software Group
2010-01-10 17:51 . 2010-01-10 17:51 -------- d-----w- c:\windows\system32\wbem\Repository
2010-01-02 15:19 . 2010-01-02 15:19 152576 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-31 14:24 . 2009-12-28 17:14 2033432 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgtray.exe
2009-12-29 11:02 . 2009-12-29 11:02 4043544 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgui.exe
2009-12-29 11:02 . 2009-12-28 17:14 3776280 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\setup.exe
2009-12-29 11:02 . 2009-12-28 17:14 2352920 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgresf.dll
2009-12-29 11:02 . 2009-12-28 17:14 916248 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgcfgx.dll
2009-12-29 11:02 . 2009-12-29 11:00 3966744 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgcorex.dll
2009-12-28 20:36 . 2009-11-25 11:01 1230080 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVG Security Toolbar\IEToolbar.dll
2009-12-28 19:04 . 2009-12-28 19:04 -------- d-----w- c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\AVG Security Toolbar
2009-12-28 17:15 . 2009-12-28 17:38 -------- d-----w- C:\$AVG
2009-12-28 17:15 . 2009-12-28 17:15 12464 ----a-w- c:\windows\system32\avgrsstx.dll
2009-12-28 17:15 . 2009-12-28 17:15 360584 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2009-12-28 17:14 . 2009-12-28 17:14 333192 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2009-12-28 17:14 . 2009-12-28 17:14 28424 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2009-12-28 17:14 . 2010-01-15 19:32 -------- d-----w- c:\windows\system32\drivers\Avg
2009-12-28 17:14 . 2009-12-28 20:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVG Security Toolbar
2009-12-28 17:14 . 2009-12-28 17:14 -------- d-----w- c:\programme\AVG
2009-12-28 17:14 . 2010-01-14 08:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9
2009-12-28 15:58 . 2009-12-28 15:58 -------- d-----w- c:\windows\McAfee.com

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-15 14:22 . 2006-12-06 21:21 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\OpenOffice.org2
2010-01-15 14:05 . 2008-12-29 19:26 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\Skype
2010-01-14 08:07 . 2008-12-29 19:28 -------- d-----w- c:\dokumente und einstellungen\****\Anwendungsdaten\skypePM
2010-01-06 15:55 . 2007-03-21 19:14 -------- d-----w- c:\programme\Windows Media Connect 2
2010-01-06 15:50 . 2007-10-10 10:48 -------- d-----w- c:\programme\DivX
2010-01-06 15:30 . 2006-02-26 23:08 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-01-06 15:29 . 2006-02-26 23:45 -------- d-----w- c:\programme\Google
2010-01-02 15:20 . 2006-02-26 23:13 -------- d-----w- c:\programme\Java
2010-01-02 15:19 . 2009-11-13 21:49 79488 ----a-w- c:\dokumente und einstellungen\****\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-28 16:59 . 2006-06-16 14:36 -------- d-----w- c:\programme\Gemeinsame Dateien\Network Associates
2009-12-28 16:59 . 2006-06-16 14:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Network Associates
2009-12-28 16:59 . 2006-06-16 14:36 -------- d-----w- c:\programme\Network Associates
2009-12-12 09:41 . 2004-08-07 05:27 462896 ----a-w- c:\windows\system32\perfh007.dat
2009-12-12 09:41 . 2004-08-07 05:27 85740 ----a-w- c:\windows\system32\perfc007.dat
2009-11-21 15:54 . 2004-08-04 08:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-10-29 05:24 . 2004-08-04 08:00 672768 ----a-w- c:\windows\system32\wininet.dll
2009-10-26 12:32 . 2006-04-15 15:21 77440 -c--a-w- c:\dokumente und einstellungen\****\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-10-21 05:38 . 2004-08-04 08:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2004-08-04 08:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-04 08:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2008-05-28 23:06 . 2008-05-28 23:06 14852 -c--a-w- c:\programme\settings.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2009-11-25 11:01 1230080 ----a-w- c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\programme\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-11-18 21633320]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-03 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-03 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-03 118784]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2005-11-08 61952]
"HP Software Update"="c:\programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-11-11 761945]
"hpWirelessAssistant"="c:\programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-12-13 507904]
"QPService"="c:\programme\HP\QuickPlay\QPService.exe" [2005-12-12 94208]
"eabconfg.cpl"="c:\programme\HPQ\Quick Launch Buttons\EabServr.exe" [2005-12-07 409600]
"Cpqset"="c:\programme\HPQ\Default Settings\cpqset.exe" [2005-06-29 233534]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"Reminder"="c:\windows\CREATOR\Remind_XP.exe" [2005-10-28 679936]
"AOLDialer"="c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 70952]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-04-15 98304]
"McAfeeUpdaterUI"="c:\programme\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
"HostManager"="c:\programme\Gemeinsame Dateien\AOL\1166017709\ee\AOLSoftware.exe" [2006-11-17 50736]
"Arabica"="c:\programme\Arabica\Astart.exe" [2007-05-22 159744]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-23 487424]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"SAFEHOME HotKeys"="c:\programme\Steganos Safe Home\SteganosHotKeyService.exe" [2007-03-21 25088]
"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2009-12-31 2033432]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\****\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2006-7-14 393216]

c:\dokumente und einstellungen\****\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2006-7-14 393216]

c:\dokumente und einstellungen\****\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2006-7-14 393216]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-7-24 110592]
AOL 9.0 Tray-Symbol.lnk - c:\programme\AOL 9.0\aoltray.exe [2006-4-15 156784]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2005-8-16 577597]

c:\dokumente und einstellungen\****\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - c:\programme\OpenOffice.org 2.0\program\quickstart.exe [2006-7-14 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-12-28 17:15 12464 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"=
"c:\\Programme\\AOL 9.0\\waol.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\1166017709\\ee\\aolsoftware.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\AVG\\AVG9\\avgupd.exe"=
"c:\\Programme\\AVG\\AVG9\\avgnsx.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [28.12.2009 19:14 333192]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [28.12.2009 19:15 360584]
R1 SLEE_15_DRIVER;Steganos Live Encryption Engine 15 [Driver];c:\windows\system32\drivers\sleen15.sys [21.02.2007 14:33 80232]
R2 avg9wd;AVG Free WatchDog;c:\programme\AVG\AVG9\avgwdsvc.exe [28.12.2009 19:14 285392]
R3 NeroCd2k;NeroCd2k;c:\windows\system32\drivers\NeroCD2k.sys [16.04.2001 12:54 44227]
S3 NaiAvFilter101;NAI Anti Virus;\Device\NaiAvFilter101.sys --> \Device\NaiAvFilter101.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = w*w.hp.com/
uSearchAssistant = hxxp://w*w.google.com/ie
uSearchURL,(Default) = hxxp://w*w.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Senden an &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\5b62ic5d.default\
FF - prefs.js: browser.search.defaulturl - hxxp://w*w.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://w*w.spiegel.de/
FF - component: c:\programme\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2010-01-15 22:56
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\programme\HPQ\Default Settings\cpqset.exe????????????????n??|?????? ???B?????????????hLC????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(884)
c:\windows\system32\igfxdev.dll
.
Zeit der Fertigstellung: 2010-01-15 22:58:44
ComboFix-quarantined-files.txt 2010-01-15 20:58

Vor Suchlauf: 12 Verzeichnis(se), 33.509.384.192 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 33.492.373.504 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 5E08E0F9D5A6FA6B830098E7E5621346

Ist nun alles wieder gut

?

Viele Grüße,
Katharina

Injector.HC und Adload_r.KN in C:\WINDOWS\system32\

Plagegeister aller Art und deren Bekämpfung: Injector.HC und Adload_r.KN in C:\WINDOWS\system32\

Injector.HC und Adload_r.KN in C:\WINDOWS\system32\

Ähnliche Themen: Injector.HC und Adload_r.KN in C:\WINDOWS\system32\