Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder

Chris4You · 11.04.2010, 19:31

Hi,

okay, dann wollen wir mal:

MAM updaten, CF downloaden und dann offline gehen.

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.

CF-Log sichern und direkt nach dem CF-Lauf (nach dem Reboot) MAM laufen lassen, Log sichern, online gehen und beide Logs posten...

chris

Badabus · 11.04.2010, 21:58

Hier das CS log:

uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\i6sj8irs.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2365318&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - DAEMON Search
FF - prefs.js: browser.startup.homepage - www.google.at
FF - plugin: c:\dokumente und einstellungen\daniel\Anwendungsdaten\Move Networks\plugins\npqmp071505000010.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll
FF - plugin: f:\programme\bin\new_plugin\npdeploytk.dll
FF - plugin: f:\programme\bin\new_plugin\npjp2.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows.0\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
AddRemove-HitmanPro35 - c:\programme\Hitman Pro 3.5\HitmanPro35.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-04-11 21:39
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

c:\dokume~1\daniel\LOKALE~1\Temp\RGI4.tmp 7118 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89907AC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba0ecf28
\Driver\ACPI -> ACPI.sys @ 0xb9e73cb8
\Driver\atapi -> atapi.sys @ 0xb9e08b40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xb9d11bb0
PacketIndicateHandler -> NDIS.sys @ 0xb9d1ea21
SendHandler -> NDIS.sys @ 0xb9cfc87b
user & kernel MBR OK

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(688)
c:\programme\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'explorer.exe'(2988)
c:\windows.0\system32\webcheck.dll
c:\windows.0\system32\WPDShServiceObj.dll
c:\windows.0\system32\PortableDeviceTypes.dll
c:\windows.0\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
f:\programme\bin\jqs.exe
c:\windows.0\system32\nvsvc32.exe
c:\windows.0\system32\WgaTray.exe
c:\windows.0\system32\wscntfy.exe
c:\windows.0\system32\RUNDLL32.EXE
c:\windows.0\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe
c:\programme\Pando Networks\Media Booster\PMB .exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-04-11 21:44:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-04-11 19:44

Vor Suchlauf: 5.141.647.360 Bytes frei
Nach Suchlauf: 5.110.161.408 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS.0
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS.0="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 16D5935EA686273FB474A4758B30332A

****************************************************************************************************************************************************** ************************

Und MAM log:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3978

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.04.2010 22:48:00
mbam-log-2010-04-11 (22-48-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)
Durchsuchte Objekte: 225503
Laufzeit: 1 Stunde(n), 2 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Chris4You · 12.04.2010, 06:31

Hi,

das CF-log ist nicht vollständig, bitte noch mal posten...
Daemon-Tools deinstallieren und GMER laufen lassen...

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Badabus · 12.04.2010, 08:15

Tut mir echt leid. Hier nun das CF log hoffe diesmal fehlt nix sorry

ComboFix 10-04-10.02 - daniel 11.04.2010 21:31:18.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3007.2690 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\daniel\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users.WINDOWS.0\Dokumente\Settings
c:\dokumente und einstellungen\daniel\Anwendungsdaten\.#
c:\recycler\S-1-5-21-73586283-1085031214-682003330-500

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RKHIT

((((((((((((((((((((((( Dateien erstellt von 2010-03-11 bis 2010-04-11 ))))))))))))))))))))))))))))))
.

2010-04-11 16:51 . 2010-04-11 16:54 15944 ----a-w- c:\windows.0\system32\drivers\hitmanpro35.sys
2010-04-11 16:49 . 2010-04-11 18:58 -------- d-----w- c:\programme\Hitman Pro 3.5
2010-04-11 16:49 . 2010-04-11 16:49 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Hitman Pro
2010-04-11 13:28 . 2010-04-11 13:28 -------- d-----w- c:\dokumente und einstellungen\daniel\DoctorWeb
2010-04-08 23:54 . 2010-04-08 23:54 52224 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-04-08 23:54 . 2010-04-09 15:31 117760 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-04-08 23:53 . 2010-04-08 23:53 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\SUPERAntiSpyware.com
2010-04-08 23:53 . 2010-04-11 19:06 -------- d-----w- c:\programme\SUPERAntiSpyware
2010-04-08 23:53 . 2010-04-08 23:53 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\SUPERAntiSpyware.com
2010-04-07 20:20 . 2010-04-07 20:27 -------- d-----w- C:\Lop SD
2010-04-07 20:11 . 2010-04-07 20:11 -------- d-----w- C:\_OTL
2010-04-07 13:19 . 2010-04-07 21:16 51837 ----a-w- c:\windows.0\War3Unin.dat
2010-04-07 13:19 . 2010-04-07 21:15 2829 ----a-w- c:\windows.0\War3Unin.pif
2010-04-07 13:19 . 2010-04-07 21:15 139264 ----a-w- c:\windows.0\War3Unin.exe
2010-04-07 02:00 . 2010-02-12 10:03 293376 ------w- c:\windows.0\system32\browserchoice.exe
2010-04-07 00:33 . 2010-04-07 00:33 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Malwarebytes
2010-04-07 00:33 . 2010-03-29 13:24 38224 ----a-w- c:\windows.0\system32\drivers\mbamswissarmy.sys
2010-04-07 00:33 . 2010-04-07 00:33 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes
2010-04-07 00:32 . 2010-04-07 06:39 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-04-07 00:32 . 2010-03-29 13:24 20824 ----a-w- c:\windows.0\system32\drivers\mbam.sys
2010-04-06 23:43 . 2010-04-06 23:43 -------- d-----w- c:\programme\Trend Micro
2010-04-06 23:19 . 2010-04-06 23:19 61440 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-39738a10-n\decora-sse.dll
2010-04-06 23:19 . 2010-04-06 23:19 503808 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-64d71a2c-n\msvcp71.dll
2010-04-06 23:19 . 2010-04-06 23:19 499712 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-64d71a2c-n\jmc.dll
2010-04-06 23:19 . 2010-04-06 23:19 348160 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-64d71a2c-n\msvcr71.dll
2010-04-06 23:19 . 2010-04-06 23:19 12800 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-39738a10-n\decora-d3d.dll
2010-04-06 23:19 . 2010-04-06 23:18 411368 ----a-w- c:\windows.0\system32\deploytk.dll
2010-04-06 20:00 . 2010-04-06 20:05 -------- d-----w- c:\programme\RegCleaner
2010-04-06 19:57 . 2010-04-06 19:57 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Uniblue
2010-04-05 15:44 . 2010-04-05 15:44 53760 ----a-w- c:\windows.0\system32\drivers\SSHDRV76.sys
2010-04-04 22:36 . 2010-04-04 22:36 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Solidshield
2010-04-04 21:37 . 2010-04-04 21:37 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Tages
2010-04-04 16:44 . 2010-04-04 16:44 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Z-Software
2010-04-04 16:43 . 2010-04-04 16:43 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Z-Software
2010-04-04 15:07 . 2010-04-04 15:37 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\clp
2010-04-04 15:07 . 2010-04-07 19:47 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Common Toolkit Suite
2010-04-04 15:05 . 2010-04-04 15:05 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Fighters
2010-04-04 15:05 . 2010-04-04 15:05 -------- d-----w- c:\dokumente und einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\PackageAware
2010-04-04 14:01 . 2010-04-04 14:01 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\The Humans
2010-04-04 12:31 . 2010-04-04 12:31 3909760 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\ProtectDisc\pe17f5f3ba.dll
2010-04-03 22:24 . 2010-04-03 22:23 216064 ----a-r- c:\windows.0\iun3405.exe
2010-04-03 12:14 . 2010-04-03 12:14 -------- d-----w- c:\programme\Sparta II
2010-04-03 11:33 . 2010-04-11 19:06 -------- d-----w- c:\programme\DAEMON Tools Pro
2010-04-03 11:32 . 2010-04-03 11:33 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\DAEMON Tools Pro
2010-04-02 16:08 . 2010-04-02 22:55 -------- d-----w- c:\programme\DAEMON Tools Toolbar
2010-04-02 16:08 . 2010-04-02 16:09 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\DAEMON Tools Lite
2010-04-02 16:07 . 2010-04-02 16:08 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\DAEMON Tools Lite
2010-03-31 11:10 . 2010-03-31 11:10 -------- d-----w- c:\programme\7-Zip
2010-03-14 21:12 . 2010-01-13 15:48 230752 ----a-r- c:\windows.0\patchw32.dll
2010-03-14 21:12 . 2010-01-13 15:48 118176 ----a-r- c:\windows.0\patchw.dll
2010-03-14 21:05 . 2010-03-14 21:05 -------- d-----w- c:\programme\Outspark
2010-03-14 20:31 . 2010-04-11 19:40 -------- d-----w- c:\dokumente und einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\PMB Files
2010-03-14 20:31 . 2010-03-14 20:31 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\PMB Files
2010-03-14 20:30 . 2010-03-14 20:30 -------- d-----w- c:\programme\Pando Networks

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-11 19:09 . 2010-04-11 17:02 112 ----a-w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\54154G.dat
2010-04-11 19:09 . 2010-04-11 19:09 71170 ----a-w- c:\windows.0\Fonts\5Wpt60QJ.com_
2010-04-11 19:06 . 2009-11-06 15:25 -------- d-----w- c:\programme\QuickTime
2010-04-11 19:06 . 2009-08-15 18:51 -------- d-----w- c:\programme\iTunes
2010-04-08 22:21 . 2009-04-19 13:36 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-04-07 19:57 . 2009-03-10 12:36 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-04-07 06:48 . 2009-08-01 01:38 10176 ----a-w- c:\dokumente und einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-04-06 23:19 . 2009-10-24 10:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-04-06 18:11 . 2009-12-08 17:28 -------- d-----w- c:\programme\Gemeinsame Dateien\Nero
2010-04-06 18:10 . 2009-12-08 17:28 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Nero
2010-04-06 14:35 . 2009-11-06 15:46 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\vlc
2010-04-04 21:36 . 2009-12-01 21:56 281760 ----a-w- c:\windows.0\system32\drivers\atksgt.sys
2010-04-04 21:36 . 2009-12-01 21:56 25888 ----a-w- c:\windows.0\system32\drivers\lirsgt.sys
2010-04-04 12:31 . 2009-11-24 12:54 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\ProtectDisc
2010-04-02 23:12 . 2009-04-20 15:49 -------- d-----w- c:\programme\World of Warcraft
2010-04-02 21:49 . 2009-08-15 19:36 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\TuneUpMedia
2010-03-28 17:04 . 2001-08-18 14:00 84326 ----a-w- c:\windows.0\system32\perfc007.dat
2010-03-28 17:04 . 2001-08-18 14:00 458822 ----a-w- c:\windows.0\system32\perfh007.dat
2010-03-22 08:39 . 2009-11-07 00:40 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\dvdcss
2010-03-20 13:54 . 2010-01-20 17:43 4906 ----a-w- c:\dokumente und einstellungen\daniel\FilterData.dat
2010-03-12 19:14 . 2009-04-23 16:29 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\teamspeak2
2010-02-25 06:15 . 2005-10-27 16:20 916480 ----a-w- c:\windows.0\system32\wininet.dll
2010-02-16 07:31 . 2010-02-16 07:31 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Turbine
2010-02-16 06:41 . 2010-02-16 06:41 -------- d-----w- c:\programme\Safari
2010-02-16 06:40 . 2010-02-16 06:40 79144 ----a-w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Apple Computer\Installer Cache\Safari 5.31.21.10\SetupAdmin.exe
2010-02-16 01:11 . 2010-02-15 22:17 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\GetRightToGo
2010-02-04 08:01 . 2010-04-03 21:05 74072 ----a-w- c:\windows.0\system32\XAPOFX1_4.dll
2010-02-04 08:01 . 2010-04-03 21:05 528216 ----a-w- c:\windows.0\system32\XAudio2_6.dll
2010-02-04 08:01 . 2010-04-03 21:05 238936 ----a-w- c:\windows.0\system32\xactengine3_6.dll
2010-02-04 08:01 . 2010-04-03 21:05 22360 ----a-w- c:\windows.0\system32\X3DAudio1_7.dll
2010-01-20 11:28 . 2010-01-20 11:28 295432 ----a-w- c:\windows.0\system32\drivers\acedrv11.sys
.

Code:

ATTFilter

<pre>
c:\programme\Adobe\Reader 9.0\Reader\Reader_sl .exe
c:\programme\Analog Devices\Core\smax4pnp .exe
c:\programme\Analog Devices\SoundMAX\Smax4  .exe
c:\programme\Analog Devices\SoundMAX\Smax4 .exe
c:\programme\DAEMON Tools Pro\DTProAgent .exe
c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM .exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier .exe
c:\programme\Gemeinsame Dateien\Java\Java Update\jusched .exe
c:\programme\Hitman Pro 3.5\HitmanPro35 .exe
c:\programme\iTunes\iTunesHelper .exe
c:\programme\Pando Networks\Media Booster\PMB .exe
c:\programme\QuickTime\QTTask  .exe
c:\programme\QuickTime\QTTask .exe
c:\programme\Razer\DeathAdder\razerhid .exe
c:\programme\Razer\Tarantula\razerhid .exe
c:\programme\SUPERAntiSpyware\SUPERAntiSpyware .exe
</pre>

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PlayNC Launcher"="" [N/A]
"NCsoft Launcher"="c:\programme\ncsoft\launcher\NCLauncher.exe" [2010-04-05 38184]
"Pando Media Booster"="c:\programme\Pando Networks\Media Booster\PMB.exe" [2010-04-11 41480]
"DAEMON Tools Pro Agent"="c:\programme\DAEMON Tools Pro\DTProAgent.exe" [2010-04-11 41480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\programme\QuickTime\QTTask .exe -atboottime" [X]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [N/A]
"nwiz"="nwiz.exe" [2009-03-27 1657376]
"NvMediaCenter"="c:\windows.0\system32\NvMcTray.dll" [2009-03-27 86016]
"DeathAdder"="c:\programme\Razer\DeathAdder\razerhid.exe" [N/A]
"Tarantula"="c:\programme\Razer\Tarantula\razerhid.exe" [N/A]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [N/A]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [N/A]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [N/A]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2010-04-11 41476]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [N/A]
"NvCplDaemon"="c:\windows.0\system32\NvCpl.dll" [2009-03-27 13684736]
"HitmanPro35"="c:\programme\Hitman Pro 3.5\HitmanPro35.exe" [N/A]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"nlhr"="c:\windows.0\System32\AdvPack.Dll" [2009-03-08 128512]
"tscuninstall"="c:\windows.0\system32\tscupgrd.exe" [2004-08-04 44544]

c:\dokumente und einstellungen\daniel\Startmen\Programme\Autostart\
CurseClientStartup.ccip [2009-12-24 0]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\World of Warcraft\\Launcher.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\TuneUpMedia\\TuneUpApp.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"=
"f:\\Programme\\Starcraft\\StarCraft.exe"=
"f:\\Programme\\World of Warcraft Public Test\\WoW-0.3.0.10522-deDE-ptr-downloader.exe"=
"f:\\Programme\\World of Warcraft Public Test\\WoW-0.3.0.10522-to-0.3.0.10554-deDE-ptr-downloader.exe"=
"f:\\Programme\\World of Warcraft Public Test\\Launcher.exe"=
"f:\\Programme\\World of Warcraft Public Test\\WoW-0.3.0.10554-to-0.3.0.10571-deDE-ptr-downloader.exe"=
"f:\\Programme\\World of Warcraft Public Test\\WoW-0.3.0.10571-to-0.3.0.10596-deDE-ptr-downloader.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"f:\\Programme\\Filme\\F Spiele Sammlung\\Prototyp !!!\\prototypef.exe"=
"c:\\WINDOWS.0\\system32\\dpvsetup.exe"=
"f:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"=
"f:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat"=
"f:\\Programme\\LOTR\\Belagerung des Düsterwalds\\lotroclient.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Dokumente und Einstellungen\\daniel\\Lokale Einstellungen\\Apps\\2.0\\7EC7XXZR.LM8\\G4Q1LRBP.BR3\\curs..tion_eee711038731a406_0004.0000_152ef8e82e8f5a48\\CurseClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"56856:TCP"= 56856:TCP:Pando Media Booster
"56856:UDP"= 56856:UDP:Pando Media Booster

R0 sptd;sptd;c:\windows.0\system32\drivers\sptd.sys [04.11.2009 21:55 691696]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 11:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [17.02.2010 11:15 66632]
R1 SSHDRV76;SSHDRV76;c:\windows.0\system32\drivers\SSHDRV76.sys [05.04.2010 17:44 53760]
R2 acedrv11;acedrv11;c:\windows.0\system32\drivers\acedrv11.sys [20.01.2010 13:28 295432]
R3 DAdderFltr;DeathAdder Mouse;c:\windows.0\system32\drivers\dadder.sys [28.08.2009 15:49 22784]
S3 AVFSFilter;AVFSFilter;c:\windows.0\system32\DRIVERS\avfsfilter.sys --> c:\windows.0\system32\DRIVERS\avfsfilter.sys [?]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [17.02.2010 11:15 12872]
S3 TarFltr;Razer Tarantula USB Keyboard;c:\windows.0\system32\drivers\UsbFltr.sys [28.08.2009 15:57 44800]
.
Inhalt des "geplante Tasks" Ordners

2010-02-16 c:\windows.0\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = www.google.at
mStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\i6sj8irs.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2365318&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - DAEMON Search
FF - prefs.js: browser.startup.homepage - www.google.at
FF - plugin: c:\dokumente und einstellungen\daniel\Anwendungsdaten\Move Networks\plugins\npqmp071505000010.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll
FF - plugin: f:\programme\bin\new_plugin\npdeploytk.dll
FF - plugin: f:\programme\bin\new_plugin\npjp2.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows.0\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
AddRemove-HitmanPro35 - c:\programme\Hitman Pro 3.5\HitmanPro35.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-04-11 21:39
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

c:\dokume~1\daniel\LOKALE~1\Temp\RGI4.tmp 7118 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89907AC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba0ecf28
\Driver\ACPI -> ACPI.sys @ 0xb9e73cb8
\Driver\atapi -> atapi.sys @ 0xb9e08b40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xb9d11bb0
PacketIndicateHandler -> NDIS.sys @ 0xb9d1ea21
SendHandler -> NDIS.sys @ 0xb9cfc87b
user & kernel MBR OK

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(688)
c:\programme\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'explorer.exe'(2988)
c:\windows.0\system32\webcheck.dll
c:\windows.0\system32\WPDShServiceObj.dll
c:\windows.0\system32\PortableDeviceTypes.dll
c:\windows.0\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
f:\programme\bin\jqs.exe
c:\windows.0\system32\nvsvc32.exe
c:\windows.0\system32\WgaTray.exe
c:\windows.0\system32\wscntfy.exe
c:\windows.0\system32\RUNDLL32.EXE
c:\windows.0\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe
c:\programme\Pando Networks\Media Booster\PMB .exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-04-11 21:44:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-04-11 19:44

Vor Suchlauf: 5.141.647.360 Bytes frei
Nach Suchlauf: 5.110.161.408 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS.0
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS.0="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 16D5935EA686273FB474A4758B30332A

Chris4You · 12.04.2010, 09:22

Hi,

folgende Auffälligkeiten im CF-log (bei virustotal.com prüfen lassen):

Code:

ATTFilter

c:\windows.0\War3Unin.exe prüfen lassen (es gibt einen gleichnamingen Wurm!)
c:\windows.0\Fonts\5Wpt60QJ.com_
c:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Apps\2.0\7EC7XXZR.LM8\G4Q1LRBP.BR3\curs..tion_eee711038731a406_0004.0000_152ef8e82e8f5a48\CurseClient.exe

Was zeigt GMER an, es sind einige Modifikation in Low-Level-Treiber da.
Bitte Daemon-Tools deinstallieren und nach GMER noch OSAM:

OSAM
Prüft Programme/Treiber die gestartet werden online.
Folge den Anweisungen hier ( http://www.trojaner-board.de/84180-anleitung-osam-autorun-manager.html ) zur Erstellung eines
Logs und poste das hier in Deinem Thread.

chris

Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder

Log-Analyse und Auswertung: Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder