Rootkit Bubnix.au in c:\windows\system32\drivers\hljrifmj.sys

Perle · 07.06.2010, 11:33

Hallo!

Habe mit CCleaner aufgeräumt. Nach 5 Durchgängen war alles weg (bis auf den Eintrag von Avira). Was mich allerdings etwas irritiert hat:
CCleaner hat auch Dateiendungen wie z.B. mp4, aac, csv, r00-r20 und einige anderen die ich kenne als "nicht verwendet" erkannt. Habe sie alle entfernen lassen da ich weiss wie ich das wieder hinbekomme. Aber da ich z.B. VLC, WinRar, WinAmp und CSV-Editor installiert habe und auch nutze versteh ich nicht wieso die als nicht verwendet erkannt wurden....

Vielleicht kann mich da jemand kurz aufschlauen

Und hier noch das Log von Combofix:

Code:

ATTFilter

ComboFix 10-06-06.04 - *** 07.06.2010  11:59:54.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.495.188 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\***\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf
c:\dokumente und einstellungen\***\Anwendungsdaten\avdrn.dat
G:\Autorun.inf

.
(((((((((((((((((((((((   Dateien erstellt von 2010-05-07 bis 2010-06-07  ))))))))))))))))))))))))))))))
.

2010-06-07 09:22 . 2010-06-07 09:22	--------	d-----w-	c:\programme\CCleaner
2010-06-06 21:02 . 2010-06-06 21:07	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Online Solutions
2010-06-03 10:36 . 2010-06-03 10:36	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-06-03 10:36 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-03 10:36 . 2010-06-03 10:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-06-03 10:36 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-06-03 10:36 . 2010-06-03 10:36	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-06-02 11:10 . 2010-06-02 11:10	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft Web Folders
2010-06-02 01:10 . 2010-06-01 14:35	15880	----a-w-	c:\windows\system32\lsdelete.exe
2010-06-01 23:14 . 2009-06-30 07:37	28552	----a-w-	c:\windows\system32\drivers\pavboot.sys
2010-06-01 23:10 . 2010-06-01 23:10	--------	d-----w-	c:\programme\Panda Security
2010-06-01 14:36 . 2010-02-04 15:53	64288	----a-w-	c:\windows\system32\drivers\Lbd.sys
2010-06-01 14:36 . 2010-06-01 14:36	95024	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2010-06-01 14:09 . 2010-06-01 14:09	--------	dc-h--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
2010-06-01 14:09 . 2010-02-04 15:53	2954656	-c--a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}\Ad-AwareInstaller.exe
2010-06-01 14:08 . 2010-06-01 14:09	--------	d-----w-	c:\programme\Lavasoft
2010-05-25 20:39 . 2010-05-25 20:58	--------	d-----w-	c:\programme\Cut Assistant 0.9.13.16

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-07 10:12 . 2007-10-04 00:49	38379552	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2010-06-07 09:20 . 2007-10-03 14:19	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Free Download Manager
2010-06-06 23:32 . 2007-10-03 14:19	--------	d-----w-	c:\programme\Free Download Manager
2010-06-06 21:24 . 2007-10-04 00:49	458660	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2010-06-06 16:21 . 2010-05-01 12:38	1	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-06-06 16:06 . 2007-10-20 14:28	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\OpenOffice.org2
2010-06-06 07:57 . 2010-04-22 20:47	--------	d-----w-	c:\programme\JDownloader
2010-06-02 11:10 . 2007-10-01 20:46	--------	d-----w-	c:\programme\microsoft frontpage
2010-06-01 13:51 . 2007-10-03 11:09	--------	d-----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-06-01 13:50 . 2007-10-03 11:10	--------	d-----w-	c:\programme\Ad-Aware 2007
2010-06-01 13:30 . 2007-10-03 11:10	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-05-26 20:19 . 2010-05-26 20:19	12	----a-w-	c:\windows\system32\config\systemprofile\Anwendungsdaten\vqdlkr.dat
2010-05-25 22:16 . 2007-10-03 12:45	--------	d-----w-	c:\programme\DivX
2010-05-24 10:07 . 2008-01-13 22:15	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\FileZilla
2010-05-07 08:35 . 2006-02-28 12:00	449576	----a-w-	c:\windows\system32\perfh007.dat
2010-05-07 08:35 . 2006-02-28 12:00	80388	----a-w-	c:\windows\system32\perfc007.dat
2010-05-04 09:12 . 2008-07-14 08:23	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON
2010-05-02 01:19 . 2007-10-03 12:13	--------	d-----w-	c:\programme\CSVed
2010-05-02 01:18 . 2010-05-02 01:18	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sam Francke
2010-05-01 23:05 . 2009-03-18 11:05	--------	d-----w-	c:\programme\ICQ6.5
2010-04-28 20:10 . 2010-04-29 11:27	2652672	----a-w-	c:\windows\Internet Logs\xDB1.tmp
2010-04-27 20:54 . 2008-11-07 10:57	4670490	----a-w-	c:\windows\Internet Logs\tvDebug.zip
2010-04-22 22:06 . 2007-10-03 21:48	34280	----a-w-	c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-04-22 20:46 . 2010-04-22 20:46	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-04-22 20:45 . 2010-04-22 20:45	--------	d-----w-	c:\programme\Java
2010-04-22 20:45 . 2010-04-22 20:45	152576	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2010-04-22 20:44 . 2010-04-22 20:44	79488	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2010-04-22 15:09 . 2010-04-22 15:09	--------	d-----w-	c:\programme\Microsoft Rich Tools
2010-04-19 23:29 . 2010-04-19 23:27	--------	d-----w-	c:\programme\OTR-Decoder
2010-04-19 23:20 . 2010-04-19 23:14	--------	d-----w-	c:\programme\Easy-Decoder
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 65536]
"Free Uploader Oe Integration"="c:\programme\Free Download Manager\FUM\fumoei.exe" [2007-06-10 40960]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TPSMain"="TPSMain.exe" [2003-12-01 266240]
"00THotkey"="c:\windows\system32\00THotkey.exe" [2003-05-23 253952]
"000StTHK"="000StTHK.exe" [2001-06-23 24576]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2003-07-17 159744]
"PadTouch"="c:\programme\TOSHIBA\PadTouch\PadExe.exe" [2003-11-24 1019904]
"TouchED"="c:\programme\TOSHIBA\TouchED\TouchED.Exe" [2003-03-11 122880]
"LTSMMSG"="LTSMMSG.exe" [2003-04-18 32768]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2003-04-06 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2003-04-06 114688]
"TFncKy"="TFncKy.exe" [BU]
"NDSTray.exe"="NDSTray.exe" [BU]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb07.exe" [2002-12-10 188416]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"WorksFUD"="c:\programme\Microsoft Works\wkfud.exe" [2000-07-12 24576]
"Microsoft Works Portfolio"="c:\programme\Microsoft Works\WksSb.exe" [2000-07-12 311350]
"Microsoft Works Update Detection"="c:\programme\Microsoft Works\WkDetect.exe" [2000-07-21 28739]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-06-29 286720]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]
"ussshreg"="c:\progra~1\ULEADS~1\Ussshreg.exe" [2000-04-20 32768]
"D-Link AirPlus XtremeG"="c:\programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe" [2006-07-07 1323008]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2006-06-01 49152]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"ZoneAlarm Client"="c:\programme\ZoneAlarm\zlclient.exe" [2007-06-21 919016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-10-3 113664]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
Erinnerungen in Microsoft Works-Kalender.lnk - c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe [2000-7-12 24633]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\SiSoft Sandra Lite\\Win32\\RpcDataSrv.exe"=
"c:\\Programme\\SiSoft Sandra Lite\\RpcSandraSrv.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [01.06.2010 16:36 64288]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [02.06.2010 01:14 28552]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.10.2009 01:52 108289]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [04.02.2010 17:52 1314704]
S3 A5AGU;D-Link USB Wireless Network Adapter Service;c:\windows\system32\drivers\a5agu.sys [05.10.2007 23:40 347648]
.
Inhalt des "geplante Tasks" Ordners

2010-06-06 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-02-04 14:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
IE: {{FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - c:\programme\Free Download Manager\FUM\fumiebtn.dll
TCP: {F9CC2ECB-C3C7-41DB-A911-0A478DC44E57} = 192.168.0.1
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\xyxg34vs.default\
FF - prefs.js: browser.startup.homepage - hxxp://meine.domain.de
FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npmidas.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Media Player\npViewpoint.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Renatager - e:\laptop-mr\Toshiba\Software\__Installiert\Mp3-Renatager\Mp3-Renatager 0.8.2 Build 141\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-07 12:12
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040510900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2010-06-07  12:17:29
ComboFix-quarantined-files.txt  2010-06-07 10:17

Vor Suchlauf: 6.902.390.784 Bytes frei
Nach Suchlauf: 7.246.917.632 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 28551D98AC469513D7C13DA8DF9964F1

Rootkit Bubnix.au in c:\windows\system32\drivers\hljrifmj.sys

Plagegeister aller Art und deren Bekämpfung: Rootkit Bubnix.au in c:\windows\system32\drivers\hljrifmj.sys

Rootkit Bubnix.au in c:\windows\system32\drivers\hljrifmj.sys

Ähnliche Themen: Rootkit Bubnix.au in c:\windows\system32\drivers\hljrifmj.sys