| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Antispyware Soft InfektionWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
05.06.2010, 00:02
| #1 |
 |  Antispyware Soft Infektion Hallo! Beim herunterladen einer Musikdatei habe ich offensichtlich einen schlechten Link erwischt und mir dadurch einen Virus/Spyware Installer für Antispyware Soft heruntergeladen ich dachte das wär der Downloader für die Musik und jetzt stehe ich da: Egal welche App ich starten will kommt: "Application cannot be executed. The file xxxxx.xxx (applikationsfile) is infected. Do you want to activate your antivirus software now?" Es kommt dann irgendwann ein Fenster mit "Antispyware Soft Innovative protection for your PC" Das Sicherheitscenter von Windows wird geöffnet. es kommen Meldungen, die sagen, dass 38 Malwareprogramme auf meinem Rechneer wären und ob ich diese beseitigen möchte. Ausserdem werden automatisch Pornoseiten im Internetexplorer gestartet. Ixh habe mit Malwarebytes, das zufällig auf dem Rechner installiert ist im protected mode einen Reinigungsversuch gemacht, der 18 infizierte Objekte fand und beseitigte, dann neu im protected mode gestartet, alles schien OK, eine Malware trace wurde noch aus der Registry entfernt. Nach Normalstart war das Problem aber wieder komplett da! Hier der Malwarebytes Log, den ich glücklicherweise über einen Memorystick aus dem Rechner lotsen konnte... Code:
ATTFilter Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3900
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702
04.06.2010 23:41:39
mbam-log-2010-06-04 (23-41-39).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 238290
Laufzeit: 16 minute(s), 20 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 11
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{80966195-c56d-49e3-9fe2-b541d8e56c90} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{80966195-c56d-49e3-9fe2-b541d8e56c90} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{836222e2-47cf-4fcb-bae1-b3679083edc1} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\net (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot.
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
C:\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\WINDOWS\system32\net.net (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uedijvrc.dll (Adware.EZlife) -> Quarantined and deleted successfully.
C:\Temp\ersoacwxmn.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\cleansweep.exe\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\cleansweep.exe\config.bin (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Temp\winlogon.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Temp\0.21977870949342415.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
Danke! Winfried |
|
05.06.2010, 03:20
| #2 |
| | Antispyware Soft Infektion Also ich habe inzwischen (mehr per Zufall
__________________ ) die allgemeine Entfernungsanleitung hier im Forum gefunden und ging also diese erstmal durch.Nachdem ich aber schon mit Malwarebytes gearbeitet hatte, scheint Rkill im abgesicherten Windows Modus nichts zum Stoppen gefunden zu haben. Das finde ich etwas verdächtig... Allerdings hatte ich die nvapps.xml auf nvapps.xl1 und k77a8.dll auf k77a8.dl1umbenannt, vielleicht wurden sie darum nicht gefunden oder eliminiert... In der Proxyeinstellung habe ich jetzt das Häkchen entfernt. Malwarebytes lässt sich im abgesicherten Modus problemlos starten, findet auch nichts. ASER: in Windows\System32\Drivers hat GMER die Datei kgzdy.sys gefunden, die irgendwie immer aktualisiert wird (sieht man am Datum) wenn man sie im Windows Explorer ansieht ... Also es ist alles noch etwas sehr komisch... Ich poste dann noch die Logs. OTL Code:
ATTFilter OTL logfile created on: 05.06.2010 02:17:18 - Run 1 OTL by OldTimer - Version 3.2.5.3 Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.022,00 Mb Total Physical Memory | 750,00 Mb Available Physical Memory | 73,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 95,00% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS Drive D: | 101,56 Gb Total Space | 77,42 Gb Free Space | 76,23% Space Free | Partition Type: NTFS Drive E: | 1,00 Gb Total Space | 0,71 Gb Free Space | 71,21% Space Free | Partition Type: FAT Drive F: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: MFSRV01 Current User Name: Administrator Logged in as Administrator. Current Boot Mode: SafeMode Scan Mode: Current user Company Name Whitelist: On Skip Microsoft Files: On File Age = 90 Days Output = Standard Quick Scan ========== Processes (SafeList) ========== PRC - [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (SafeList) ========== MOD - [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx ========== Win32 Services (SafeList) ========== SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4ServiceControl) SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4FOC) SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4DataImport) SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4Cti) SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4AAA) SRV - [2006.06.18 14:56:10 | 000,712,704 | ---- | M] (UltraVNC) [Auto | Stopped] -- C:\Programme\UltraVNC\WinVNC.exe -- (winvnc) SRV - [2005.03.31 02:02:40 | 000,377,856 | ---- | M] (XIMETA, Inc.) [Auto | Stopped] -- C:\Programme\NDAS\System\ndassvc.exe -- (ndassvc) SRV - [2002.02.15 10:51:00 | 000,114,749 | ---- | M] (Symantec Corporation) [Auto | Stopped] -- C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE -- (awhost32) ========== Driver Services (SafeList) ========== DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2008.04.13 20:36:41 | 000,063,744 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mf.sys -- (mf) DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus) DRV - [2007.05.21 17:04:24 | 000,057,968 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Programme\Symantec\SYMEVENT.SYS -- (SymEvent) DRV - [2006.11.22 10:01:48 | 000,693,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock) DRV - [2006.11.22 10:01:48 | 000,100,096 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\aksusb.sys -- (aksusb) DRV - [2006.11.22 10:01:46 | 000,327,168 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\akshasp.sys -- (akshasp) DRV - [2006.09.29 13:59:58 | 000,250,368 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\iaStor.sys -- (iaStor) DRV - [2006.08.11 20:42:42 | 003,958,496 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv) DRV - [2006.06.28 16:25:24 | 004,304,384 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2006.05.10 15:00:16 | 000,156,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k) DRV - [2005.03.31 02:03:12 | 000,120,704 | ---- | M] (XIMETA, Inc.) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\lfsfilt.sys -- (lfsfilt) DRV - [2005.03.31 02:02:20 | 000,109,184 | ---- | M] (XIMETA, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\lpx.sys -- (lpx) DRV - [2005.03.31 02:02:20 | 000,091,392 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ndasscsi.sys -- (ndasscsi) DRV - [2005.03.31 02:02:20 | 000,039,168 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ndasbus.sys -- (ndasbus) DRV - [2005.01.07 17:07:16 | 000,145,920 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService) DRV - [2004.06.26 13:22:00 | 000,006,016 | ---- | M] (RDV Soft) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\vnccom.SYS -- (vnccom) DRV - [2004.06.26 13:22:00 | 000,004,736 | ---- | M] (RDV Soft) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\vncdrv.sys -- (vncdrv) DRV - [2002.02.11 10:51:00 | 000,033,496 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AW_HOST5.sys -- (AW_HOST) DRV - [2001.10.09 10:51:00 | 000,014,944 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\GERNUWA.SYS -- (Gernuwa) DRV - [2001.08.18 04:21:04 | 000,039,808 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrParwdm.sys -- (BrParWdm) Brother WDM-Treiber (parallel) DRV - [2001.08.17 13:12:24 | 000,003,168 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrParImg.sys -- (brparimg) DRV - [2001.08.17 13:12:20 | 000,060,416 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrSerWdm.sys -- (BrSerWDM) Brother WDM-Treiber (seriell) DRV - [2001.08.17 13:12:12 | 000,002,944 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrFilt.sys -- (brfilt) DRV - [2001.08.17 12:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase) DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN) DRV - [2000.09.11 10:51:00 | 000,010,816 | ---- | M] (Symantec Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\System32\Drivers\awlegacy.sys -- (awlegacy) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q= IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - Reg Error: Key error. File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local> IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555 O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (C:\WINDOWS\system32\k77a8.dll) - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M] O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKCU\..\Toolbar\ShellBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.) O4 - HKLM..\Run: [skb] File not found O4 - HKLM..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider) O4 - HKLM..\Run: [WinVNC] C:\Programme\UltraVNC\WinVNC.exe (UltraVNC) O4 - HKLM..\Run: [xaknoleo] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe () O4 - HKCU..\Run: [Octoshape Streaming Services] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (Octoshape ApS) O4 - Startup: C:\Dokumente und Einstellungen\Administrator.MFSRV01\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe () O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\f Micros-Fidelio - FO Server.lnk = U:\FOSERVER.exe File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\i Micros-Fidelio - Interface.lnk = X:\IFCSTART.BAT File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NDAS Device Management.lnk = C:\Programme\NDAS\System\ndasmgmt.exe (XIMETA, Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 45681376 O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll (Google Inc.) O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} https://microsinc.webex.com/client/T26L/support/ieatgpc.cab (GpcContainer Class) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\PCANotify: DllName - PCANotify.dll - C:\WINDOWS\System32\PCANotify.dll (Symantec Corporation) O22 - SharedTaskScheduler: {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - har98fefiesjfs93s8i9sejsdf - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M] O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 0 O32 - AutoRun File - [2007.05.17 15:32:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{d891d302-d557-11de-a98e-0019990564f0}\Shell\AutoRun\command - "" = E:\ -- File not found O33 - MountPoints2\{d891d302-d557-11de-a98e-0019990564f0}\Shell\open\Command - "" = WScript.exe .\autorun.vbs O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\AutoRun\command - "" = lgrncie.bat O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\explore\Command - "" = lgrncie.bat O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\open\Command - "" = lgrncie.bat O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: Ias - C:\WINDOWS\system32\ias [2007.05.17 15:32:00 | 000,000,000 | ---D | M] NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found NetSvcs: SSHNAS - File not found Unable to start service SrService! ========== Files/Folders - Created Within 90 Days ========== [2010.06.05 02:15:29 | 000,571,904 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe [2010.06.05 01:34:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\k77a8.dll [2010.06.05 01:29:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\nvapps.xml [2010.06.04 23:45:03 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Recent [2010.06.04 22:46:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe [2010.06.04 22:31:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf [2010.06.04 22:31:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads [2010.06.04 22:30:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56 [2010.05.22 22:24:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp [2010.05.22 22:22:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip [2010.05.22 22:22:47 | 000,000,000 | ---D | C] -- C:\Programme\dBpoweramp [2010.05.15 11:54:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\FFOutput [2010.05.15 11:54:26 | 000,272,896 | ---- | C] (Progressive Networks) -- C:\WINDOWS\System32\pncrt.dll [2010.05.15 11:54:02 | 000,000,000 | ---D | C] -- C:\Programme\FormatFactory [2010.05.11 10:43:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz [2010.05.11 10:43:44 | 000,000,000 | ---D | C] -- C:\Programme\Downloader Qobuz [2010.04.05 01:56:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Musikdownload [2010.04.05 01:55:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\com.linnrecords.DownloadManager.40C89B3FC753A97A186C409C1D89AC73BA0FCCBF.1 [2010.04.05 01:55:14 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe AIR [2010.04.05 01:55:13 | 000,000,000 | ---D | C] -- C:\Programme\Linn Download Manager [2010.04.03 18:54:24 | 000,000,000 | ---D | C] -- C:\Programme\FLAC [2010.04.03 18:41:50 | 000,000,000 | ---D | C] -- C:\Programme\Exact Audio Copy ========== Files - Modified Within 90 Days ========== [2010.06.05 02:19:22 | 000,823,808 | ---- | M] () -- C:\WINDOWS\System32\drivers\kgzdy.sys [2010.06.05 02:15:35 | 005,505,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\NTUSER.DAT [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe [2010.06.05 01:24:17 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.06.05 01:23:50 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.06.05 01:22:27 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.06.05 01:22:26 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\ntuser.ini [2010.06.05 01:22:19 | 003,250,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.06.05 01:18:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.06.05 01:16:00 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job [2010.06.05 00:19:01 | 000,000,034 | ---- | M] () -- C:\WINDOWS\ais.ini [2010.06.05 00:18:22 | 000,081,191 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xm1 [2010.06.05 00:17:54 | 000,002,740 | ---- | M] () -- C:\WINDOWS\BrmfBidi.ini [2010.06.05 00:17:51 | 008,405,015 | ---- | M] () -- C:\WINDOWS\hlktmp [2010.06.05 00:17:42 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.06.04 22:30:30 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedyb.exe [2010.06.04 22:30:30 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\k77a8.dl1 [2010.06.04 22:15:14 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedya.exe [2010.05.31 23:52:45 | 000,124,928 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Zimmerrreinigung Monatsabrechnung.xls [2010.05.25 23:03:50 | 000,767,035 | ---- | M] () -- C:\ADS_ERR.DBF [2010.05.22 22:22:49 | 000,015,326 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat [2010.05.22 22:22:28 | 000,033,846 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp [2010.05.21 10:49:49 | 005,652,144 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall.exe [2010.05.15 18:39:51 | 000,000,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Verknüpfung mit Papierkorb.lnk [2010.04.13 23:18:55 | 000,000,515 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\f Micros-Fidelio - FO Server.lnk [2010.04.06 23:14:45 | 000,000,000 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Default.rdp [2010.04.05 01:55:16 | 000,000,902 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linn Download Manager.lnk [2010.04.03 18:54:24 | 000,001,495 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk [2010.04.03 18:41:51 | 000,000,685 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Exact Audio Copy.lnk [2010.04.01 08:15:45 | 000,897,954 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.04.01 08:15:45 | 000,391,000 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.04.01 08:15:45 | 000,380,350 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.04.01 08:15:45 | 000,063,580 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.04.01 08:15:45 | 000,052,764 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.03.22 19:28:12 | 000,000,612 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk ========== Files Created - No Company Name ========== [2010.06.04 22:30:58 | 000,823,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\kgzdy.sys [2010.06.04 22:30:50 | 000,174,080 | ---- | C] () -- C:\WINDOWS\Pjedyb.exe [2010.06.04 22:30:30 | 000,030,000 | ---- | C] () -- C:\WINDOWS\System32\k77a8.dl1 [2010.06.04 22:15:22 | 000,174,080 | ---- | C] () -- C:\WINDOWS\Pjedya.exe [2010.06.04 22:15:20 | 000,000,250 | -H-- | C] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job [2010.05.22 22:22:49 | 005,652,144 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall.exe [2010.05.22 22:22:49 | 000,033,846 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp [2010.05.22 22:22:49 | 000,015,326 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat [2010.05.15 18:39:51 | 000,000,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Verknüpfung mit Papierkorb.lnk [2010.04.06 23:14:45 | 000,000,000 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Default.rdp [2010.04.05 01:55:16 | 000,000,902 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linn Download Manager.lnk [2010.04.03 18:54:24 | 000,001,495 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk [2010.04.03 18:41:51 | 000,000,685 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Exact Audio Copy.lnk [2007.05.22 14:12:46 | 000,002,740 | ---- | C] () -- C:\WINDOWS\BrmfBidi.ini [2007.05.22 13:41:11 | 000,000,034 | ---- | C] () -- C:\WINDOWS\ais.ini [2007.05.17 15:57:54 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2007.05.17 15:57:12 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2007.05.17 15:57:12 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2007.05.17 15:57:11 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2007.05.17 15:57:11 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll [2007.05.17 15:57:11 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2007.05.17 15:57:11 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2007.05.17 15:57:09 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll [2007.05.17 15:34:59 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI [2004.09.01 17:49:17 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll [2001.03.30 22:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll ========== LOP Check ========== [2010.06.04 22:31:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56 [2009.05.29 23:38:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Auslogics [2010.04.05 01:55:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\com.linnrecords.DownloadManager.40C89B3FC753A97A186C409C1D89AC73BA0FCCBF.1 [2007.10.19 23:01:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\cpuid [2010.05.22 22:26:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp [2010.05.11 11:11:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz [2010.06.04 23:27:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads [2007.05.22 14:18:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RVS [2010.06.05 01:16:00 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*.* > [2010.05.25 23:03:50 | 000,767,035 | ---- | M] () -- C:\ADS_ERR.DBF [2007.05.17 15:32:19 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT [2007.05.22 14:42:47 | 000,000,211 | -HS- | M] () -- C:\boot.ini [2004.08.04 14:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin [2009.09.18 12:42:18 | 000,000,572 | ---- | M] () -- C:\CibRegSvr.log [2007.05.17 15:32:19 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS [2007.05.24 11:21:27 | 000,001,710 | ---- | M] () -- C:\DEBUG.LOG [2007.05.17 15:32:19 | 000,000,000 | RHS- | M] () -- C:\IO.SYS [2007.05.21 15:31:30 | 000,000,452 | ---- | M] () -- C:\mfInst.log [2007.05.17 15:32:19 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS [2004.08.04 14:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM [2009.03.28 01:35:57 | 000,251,712 | RHS- | M] () -- C:\ntldr [2010.06.05 01:23:45 | 1610,612,736 | -HS- | M] () -- C:\pagefile.sys [2007.05.17 15:57:58 | 000,000,440 | ---- | M] () -- C:\RHDSetup.log < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > < %systemroot%\Tasks\*.job /lockedfiles > < %systemroot%\System32\config\*.sav > [2007.05.17 17:24:05 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2007.05.17 17:24:05 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2007.05.17 17:24:05 | 000,430,080 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\system32\drivers\*.sys /90 > [2010.06.05 02:20:20 | 000,823,808 | ---- | M] () -- C:\WINDOWS\system32\drivers\kgzdy.sys < End of report > Code:
ATTFilter OTL Extras logfile created on: 05.06.2010 02:17:18 - Run 1
OTL by OldTimer - Version 3.2.5.3 Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1.022,00 Mb Total Physical Memory | 750,00 Mb Available Physical Memory | 73,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 95,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS
Drive D: | 101,56 Gb Total Space | 77,42 Gb Free Space | 76,23% Space Free | Partition Type: NTFS
Drive E: | 1,00 Gb Total Space | 0,71 Gb Free Space | 71,21% Space Free | Partition Type: FAT
Drive F: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: MFSRV01
Current User Name: Administrator
Logged in as Administrator.
Current Boot Mode: SafeMode
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VLC Player\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VLC Player\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"38293:TCP" = 38293:TCP:*:Enabled:IP PORT 38293
"1521:TCP" = 1521:TCP:*:Enabled:IP PORT 1521
"443:TCP" = 443:TCP:*:Enabled:IP PORT 443
"80:TCP" = 80:TCP:*:Enabled:IP PORT 80
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1621:TCP" = 1621:TCP:*:Enabled:IP PORT 1621
"5900:TCP" = 5900:TCP:*:Enabled:IP PORT 5900
"4400:TCP" = 4400:TCP:*:Enabled:IP PORT 4400
"2967:TCP" = 2967:TCP:*:Enabled:IP PORT 2967
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\UltraVNC\vncviewer.exe" = C:\Programme\UltraVNC\vncviewer.exe:*:Enabled:C:\Programme\UltraVNC\vncviewer.exe -- (UltraVNC)
"C:\Programme\UltraVNC\winvnc.exe" = C:\Programme\UltraVNC\winvnc.exe:*:Enabled:C:\Programme\UltraVNC\winvnc.exe -- (UltraVNC)
"C:\Programme\Symantec\pcAnywhere\WINAW32.EXE" = C:\Programme\Symantec\pcAnywhere\WINAW32.EXE:*:Enabled:pcAnywhere Main Program -- (Symantec Corporation)
"C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE" = C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE:*:Enabled:pcAnywhere Host Service -- (Symantec Corporation)
"C:\Programme\Symantec\pcAnywhere\awrem32.exe" = C:\Programme\Symantec\pcAnywhere\awrem32.exe:*:Enabled:pcAnywhere Remote Service -- (Symantec Corporation)
"D:\fidelio\program\Ifc7.exe" = D:\fidelio\program\Ifc7.exe:*:Enabled:IFC7 from Micros-Fidelio (Ireland) Ltd. -- (Micros-Fidelio (Ireland) Ltd.)
"C:\programme\HospiX Entry\g4.exe" = C:\programme\hospix entry\g4.exe:LocalSubNet:Enabled:HospiX Entry -- (MSI Solutions GmbH)
"C:\programme\hospix entry\g4servicectrl.exe" = C:\programme\hospix entry\g4servicectrl.exe:LocalSubNet:Enabled:HospiX Entry Status Viewer -- (MSI Solutions GmbH)
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Octoshape Streaming Services" = Octoshape Streaming Services
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 01.04.2010 14:33:09 | Computer Name = MFSRV01 | Source = G4Cti | ID = 5
Description = OSI_Hipath3000: Nicht verbunden! Windows-Socket-Fehler: Ein Verbindungsversuch
ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht ordnungsgemäß
reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene
Host nicht reagiert hat (10060), auf API 'connect' Thread: HospiX Entry - PBX Interface
TThreadCtiSteuerung
Error - 04.06.2010 16:35:25 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
abnormally .
Error - 04.06.2010 16:35:25 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 04.06.2010 16:58:26 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
abnormally .
Error - 04.06.2010 16:58:26 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 04.06.2010 18:22:33 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
abnormally .
Error - 04.06.2010 18:22:34 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
[ System Events ]
Error - 04.06.2010 19:53:50 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
Error - 04.06.2010 19:55:37 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
Error - 04.06.2010 20:11:13 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
Error - 04.06.2010 20:12:01 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
Error - 04.06.2010 20:12:43 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
Error - 04.06.2010 20:12:55 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
Error - 04.06.2010 20:15:14 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
Error - 04.06.2010 20:15:32 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
Error - 04.06.2010 20:17:26 | Computer Name = MFSRV01 | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
Error - 04.06.2010 20:17:26 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
beendet: %%2
< End of report >
GMER: GMER Logfile: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-05 02:49:39
Windows 5.1.2600 Service Pack 3
Running: defxt86v.exe; Driver: c:\Temp\pwrdypob.sys
---- Kernel code sections - GMER 1.0.15 ----
.pak2 C:\WINDOWS\system32\drivers\kgzdy.sys entry point in ".pak2" section [0xF73B74E0]
? C:\WINDOWS\system32\drivers\kgzdy.sys Ein an das System angeschlossenes Gerät funktioniert nicht.
PAGE Ntfs.sys F7193E55 4 Bytes CALL 865D4159
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\svchost.exe[612] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 006E000A
.text C:\WINDOWS\system32\svchost.exe[612] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 006F000A
.text C:\WINDOWS\system32\svchost.exe[612] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 006D000C
.text C:\WINDOWS\system32\svchost.exe[612] USER32.dll!GetCursorPos 7E37974E 5 Bytes JMP 0068000A
.text C:\WINDOWS\system32\svchost.exe[612] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 0132000A
.text C:\WINDOWS\explorer.exe[1340] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00B8000A
.text C:\WINDOWS\explorer.exe[1340] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00BE000A
.text C:\WINDOWS\explorer.exe[1340] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00B7000C
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 86506EC8
Device \Driver\aksusb \Device\00000058 AKSCLASS.SYS (Aladdin Class Driver/Aladdin Knowledge Systems Ltd.)
---- Services - GMER 1.0.15 ----
Service (*** hidden *** ) [BOOT] kgzdy <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet003\Services\kgzdy@Type 1
Reg HKLM\SYSTEM\ControlSet003\Services\kgzdy@Start 0
Reg HKLM\SYSTEM\ControlSet003\Services\kgzdy@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\kgzdy@Group Boot Bus Extender
---- EOF - GMER 1.0.15 ----]
Gruss, Winfried Geändert von wgh52 (05.06.2010 um 03:34 Uhr) |
|
05.06.2010, 03:44
| #3 |
| | Antispyware Soft Infektion Hier noch die RSIT Logs
__________________RSIT Logfile: RSIT Logfile: Code:
ATTFilter Logfile of random's system information tool 1.07 (written by random/random)
Run by Administrator at 2010-06-05 04:36:44
Microsoft Windows XP Professional Service Pack 3
System drive C: has 23 GB (76%) free of 30 GB
Total RAM: 1022 MB (74% free)
HijackThis download failed
======Scheduled tasks folder======
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
======Registry dump======
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7BA40A1-74F2-52BD-F411-04B15A2C8953}]
C:\WINDOWS\system32\k77a8.dll - C:\WINDOWS\system32\k77a8.dll []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2010-05-28 278128]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"=C:\Programme\UltraVNC\WinVNC.exe [2006-06-18 712704]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=C:\WINDOWS\system32\HDAShCut.exe [2005-01-07 61952]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-06-28 16248320]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2006-08-11 86016]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-08-11 7630848]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"REGSHAVE"=C:\Programme\REGSHAVE\REGSHAVE.EXE [2002-02-04 53248]
"skb"=rundll32 uedijvrc.dll,,Run []
"xaknoleo"=C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe [2010-06-04 282656]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"Octoshape Streaming Services"=C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe [2008-05-22 156944]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2009-12-18 40368]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cleansweep.exe]
C:\cleansweep.exe\cleansweep.exe []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfe8owijfisjhgs7ye39gjsoighsd7y3eu]
C:\Temp\fn4yj.exe []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfg9w8gujsokgahi8gysgnsdgefshyjy]
C:\Temp\debug.exe []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M5T8QL3YW3]
c:\Temp\Pql.exe []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mcexecwin]
c:\Temp\lxqg3foj.dll, RestoreWindows []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xaknoleo]
C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe [2010-06-04 282656]
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
f Micros-Fidelio - FO Server.lnk - U:\FOSERVER.exe
i Micros-Fidelio - Interface.lnk - X:\IFCSTART.BAT
NDAS Device Management.lnk - C:\Programme\NDAS\System\ndasmgmt.exe
C:\Dokumente und Einstellungen\Administrator.MFSRV01\Startmenü\Programme\Autostart
OpenOffice.org 2.2.lnk - C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PCANotify]
C:\WINDOWS\system32\PCANotify.dll [2002-02-15 24638]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler]
har98fefiesjfs93s8i9sejsdf - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\k77a8.dll []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
"NoDrives"=45681376
"NoFolderOptions"=0
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\UltraVNC\vncviewer.exe"="C:\Programme\UltraVNC\vncviewer.exe:*:Enabled:C:\Programme\UltraVNC\vncviewer.exe"
"C:\Programme\UltraVNC\winvnc.exe"="C:\Programme\UltraVNC\winvnc.exe:*:Enabled:C:\Programme\UltraVNC\winvnc.exe"
"C:\WINDOWS\SYSTEM32\WUAUCLT.EXE"="C:\WINDOWS\SYSTEM32\WUAUCLT.EXE:*:Enabled:C:\WINDOWS\SYSTEM32\WUAUCLT.EXE"
"C:\Programme\Symantec\pcAnywhere\WINAW32.EXE"="C:\Programme\Symantec\pcAnywhere\WINAW32.EXE:*:Enabled:pcAnywhere Main Program"
"C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE"="C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE:*:Enabled:pcAnywhere Host Service"
"C:\Programme\Symantec\pcAnywhere\awrem32.exe"="C:\Programme\Symantec\pcAnywhere\awrem32.exe:*:Enabled:pcAnywhere Remote Service"
"D:\fidelio\program\Ifc7.exe"="D:\fidelio\program\Ifc7.exe:*:Enabled:IFC7 from Micros-Fidelio (Ireland) Ltd."
"C:\programme\HospiX Entry\g4.exe"="C:\programme\hospix entry\g4.exe:LocalSubNet:Enabled:HospiX Entry"
"C:\programme\hospix entry\g4servicectrl.exe"="C:\programme\hospix entry\g4servicectrl.exe:LocalSubNet:Enabled:HospiX Entry Status Viewer"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d891d302-d557-11de-a98e-0019990564f0}]
shell\AutoRun\command - E:\
shell\open\command - WScript.exe .\autorun.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}]
shell\AutoRun\command - lgrncie.bat
shell\explore\command - lgrncie.bat
shell\open\command - lgrncie.bat
======List of files/folders created in the last 1 months======
2010-06-05 04:36:51 ----D---- C:\Programme\trend micro
2010-06-05 04:36:44 ----D---- C:\rsit
2010-06-05 01:34:17 ----D---- C:\WINDOWS\system32\k77a8.dll
2010-06-05 01:29:31 ----D---- C:\WINDOWS\system32\nvapps.xml
2010-06-05 00:17:34 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-06-04 23:54:52 ----A---- C:\WINDOWS\ntbtlog.txt
2010-06-04 22:31:24 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads
2010-06-04 22:30:50 ----A---- C:\WINDOWS\Pjedyb.exe
2010-06-04 22:30:24 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56
2010-06-04 22:15:22 ----A---- C:\WINDOWS\Pjedya.exe
2010-05-26 23:44:53 ----HDC---- C:\WINDOWS\$NtUninstallKB981793$
2010-05-22 22:24:32 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp
2010-05-22 22:22:50 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip
2010-05-22 22:22:49 ----A---- C:\WINDOWS\system32\SpoonUninstall.exe
2010-05-22 22:22:47 ----D---- C:\Programme\dBpoweramp
2010-05-15 11:54:26 ----A---- C:\WINDOWS\system32\pncrt.dll
2010-05-15 11:54:02 ----D---- C:\Programme\FormatFactory
2010-05-13 03:00:23 ----HDC---- C:\WINDOWS\$NtUninstallKB978542$
2010-05-11 10:43:44 ----D---- C:\Programme\Downloader Qobuz
2010-05-11 10:43:44 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz
======List of files/folders modified in the last 1 months======
2010-06-05 04:36:51 ----RD---- C:\Programme
2010-06-05 04:34:03 ----D---- C:\Temp
2010-06-05 02:13:53 ----D---- C:\WINDOWS\system32
2010-06-05 02:13:53 ----D---- C:\WINDOWS
2010-06-05 01:53:36 ----HD---- C:\WINDOWS\inf
2010-06-05 01:53:35 ----D---- C:\WINDOWS\system32\CatRoot2
2010-06-05 00:19:01 ----A---- C:\WINDOWS\ais.ini
2010-06-05 00:18:24 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\OpenOffice.org2
2010-06-05 00:17:54 ----A---- C:\WINDOWS\BrmfBidi.ini
2010-06-04 23:43:57 ----HDC---- C:\WINDOWS\$NtUninstallKB920213$
2010-06-04 23:43:57 ----D---- C:\WINDOWS\system32\drivers
2010-06-04 23:05:51 ----SD---- C:\WINDOWS\Tasks
2010-06-04 22:31:06 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-06-03 01:04:30 ----D---- C:\WINDOWS\Prefetch
2010-05-28 09:37:18 ----SHD---- C:\WINDOWS\Installer
2010-05-13 21:59:04 ----D---- C:\WINDOWS\Debug
2010-05-13 03:00:25 ----D---- C:\Programme\Outlook Express
2010-05-12 09:08:46 ----HD---- C:\WINDOWS\$hf_mig$
2010-05-09 00:35:41 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdcss
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 AW_HOST;AW_HOST; C:\WINDOWS\system32\drivers\aw_host5.sys [2002-02-11 33496]
R3 akshasp;Aladdin HASP Key; C:\WINDOWS\system32\DRIVERS\akshasp.sys [2006-11-22 327168]
R3 aksusb;Aladdin USB Key; C:\WINDOWS\system32\DRIVERS\aksusb.sys [2006-11-22 100096]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-08-04 12288]
R3 ndasbus;NDAS Bus Driver; C:\WINDOWS\system32\DRIVERS\ndasbus.sys [2005-03-31 39168]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S1 awlegacy;awlegacy; C:\WINDOWS\System32\Drivers\awlegacy.sys [2000-09-11 10816]
S1 lfsfilt;Lean File Sharing; \??\C:\WINDOWS\system32\DRIVERS\lfsfilt.sys []
S1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
S2 Hardlock;Hardlock; \??\C:\WINDOWS\system32\drivers\hardlock.sys []
S2 vnccom;vnccom; C:\WINDOWS\System32\Drivers\vnccom.SYS [2004-06-26 6016]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber; C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]
S3 b57w2k;Broadcom NetXtreme Gigabit Ethernet; C:\WINDOWS\system32\DRIVERS\b57xp32.sys [2006-05-10 156160]
S3 brfilt;Brother MFC-Filtertreiber; C:\WINDOWS\System32\Drivers\Brfilt.sys [2001-08-17 2944]
S3 brparimg;Brother Multifunktions-parallel-Image-Treiber; C:\WINDOWS\system32\DRIVERS\BrParImg.sys [2001-08-17 3168]
S3 BrParWdm;Brother WDM-Treiber (parallel); C:\WINDOWS\System32\Drivers\BrParwdm.sys [2001-08-18 39808]
S3 BrSerWDM;Brother WDM-Treiber (seriell); C:\WINDOWS\System32\Drivers\BrSerWdm.sys [2001-08-17 60416]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0; C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 444416]
S3 HdAudAddService;Microsoft UAA-Funktionstreiber für den High Definition Audio-Dienst; C:\WINDOWS\system32\drivers\HdAudio.sys [2005-01-07 145920]
S3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-06-28 4304384]
S3 mf;mf; C:\WINDOWS\system32\DRIVERS\mf.sys [2008-04-13 63744]
S3 ndasscsi;NDAS SCSI Miniport Driver; C:\WINDOWS\system32\DRIVERS\ndasscsi.sys [2005-03-31 91392]
S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-08-11 3958496]
S3 SymEvent;SymEvent; \??\C:\Programme\Symantec\SYMEVENT.SYS []
S3 vncdrv;vncdrv; C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 4736]
S4 ACPI;ACPI; C:\WINDOWS\system32\drivers\ACPI.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472]
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
S2 awhost32;pcAnywhere Host Service; C:\Programme\Symantec\pcAnywhere\awhost32.exe [2002-02-15 114749]
S2 G4AAA;HospiX Entry - AAA Service; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 G4Cti;HospiX Entry - PBX Interface; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 G4DataImport;HospiX Entry - Call data import; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 G4FOC;HospiX Entry - PMS Connector; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 G4ServiceControl;HospiX Entry - Service Controller; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 gupdate;Google Update Service (gupdate); C:\Programme\Google\Update\GoogleUpdate.exe [2010-02-05 135664]
S2 ndassvc;NDAS Service; C:\Programme\NDAS\System\ndassvc.exe [2005-03-31 377856]
S2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-08-11 155715]
S2 winvnc;VNC Server; C:\Programme\UltraVNC\WinVNC.exe [2006-06-18 712704]
S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-28 182768]
-----------------EOF-----------------
--- --- --- Info.txt [code]info.txtRSIT Logfile:RSIT Logfile: Code:
ATTFilter logfile of random's system information tool 1.06 2010-06-05 04:36:55
======Uninstall list======
======System event log======
Computer Name: MFSRV01
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.
Record Number: 7374
Source Name: Disk
Time Written: 20100505113506.000000+120
Event Type: Warnung
User:
Computer Name: MFSRV01
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.
Record Number: 7373
Source Name: Disk
Time Written: 20100505113506.000000+120
Event Type: Warnung
User:
Computer Name: MFSRV01
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.
Record Number: 7372
Source Name: Disk
Time Written: 20100505113506.000000+120
Event Type: Warnung
User:
Computer Name: MFSRV01
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.
Record Number: 7371
Source Name: Disk
Time Written: 20100505113506.000000+120
Event Type: Warnung
User:
Computer Name: MFSRV01
Event Code: 26
Message: Anwendungspopup: Windows - Datenverlust beim Schreiben: Es konnten nicht alle Daten für die Datei P:\ gespeichert werden. Die Daten gingen verloren. Mögliche Ursache könnten Computerhardware oder Netzwerkverbindungen sein. Versuchen Sie, die Dateien woanders zu speichern.
Record Number: 7370
Source Name: Application Popup
Time Written: 20100505113504.000000+120
Event Type: Informationen
User:
=====Application event log=====
Computer Name: MFSRV01
Event Code: 4
Message: Der automatische Aktualisierungsabruf des Drittanbieterstammzertifikats wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/02FAF3E291435468607857694DF5E45B68851868.crt>.
Record Number: 2647
Source Name: crypt32
Time Written: 20091006114356.000000+120
Event Type: Informationen
User:
Computer Name: MFSRV01
Event Code: 2
Message: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-CAB-Datei wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Record Number: 2646
Source Name: crypt32
Time Written: 20091006114355.000000+120
Event Type: Informationen
User:
Computer Name: MFSRV01
Event Code: 7
Message: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>.
Record Number: 2645
Source Name: crypt32
Time Written: 20091006114355.000000+120
Event Type: Informationen
User:
Computer Name: MFSRV01
Event Code: 0
Message:
Record Number: 2644
Source Name: gusvc
Time Written: 20091006110834.000000+120
Event Type: Informationen
User:
Computer Name: MFSRV01
Event Code: 0
Message:
Record Number: 2643
Source Name: gusvc
Time Written: 20091006110734.000000+120
Event Type: Informationen
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"NUMBER_OF_PROCESSORS"=1
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Symantec\pcAnywhere\;C:\Programme\CIB pdf brewer
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 2, GenuineIntel
"PROCESSOR_LEVEL"=6
"PROCESSOR_REVISION"=0f02
"TEMP"=c:\Temp
"TMP"=c:\Temp
"windir"=%SystemRoot%
"SAFEBOOT_OPTION"=MINIMAL
-----------------EOF-----------------
--- --- --- Ich hoffe Ihr könnt mir helfen. Ich probiere jetzt nochmal ein normalen Boot. Au Mann! Winfried |
|
05.06.2010, 04:19
| #4 |
| | Antispyware Soft Infektion Also ich verzweifle gerade, die ganze stundenlange Aktion hat nichts gebracht... Nach Neustart alles wieder beim alten: ich kann kein Programm starten, immer die bekannte Meldung. Also wieder abgesicherter Modus und nochmal Rkill.com gestartet, das findet aber keine zu stoppenden Prozesse ausser sich selbst... Dann nochmal Malwarebytes (nach update mit neuesten Daten) gestartet, findet jetzt was, läuft aber noch eine Weile. Was für eine schlaflose Nacht wegen diesem Mist (ja, habe ich mir ja selbst zuzuschreiben, weiss schon  )Bis später, ich poste dann noch den Malwarebytes Scan. Gruss, Winfried |
|
05.06.2010, 04:44
| #5 |
| /// Selecta Jahrusso   | Antispyware Soft Infektion Es ist mitten in der Nacht, also etwas geduld  Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1
Code:
ATTFilter :OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
O4 - HKLM..\Run: [skb] File not found
O4 - HKLM..\Run: [xaknoleo] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe ()
O2 - BHO: (C:\WINDOWS\system32\k77a8.dll) - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M]
O22 - SharedTaskScheduler: {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - har98fefiesjfs93s8i9sejsdf - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M]
O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\AutoRun\command - "" = lgrncie.bat
O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\explore\Command - "" = lgrncie.bat
O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\open\Command - "" = lgrncie.bat
[2010.06.05 01:16:00 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
[2010.06.04 22:30:30 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedyb.exe
[2010.06.04 22:30:30 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\k77a8.dl1
[2010.06.04 22:15:14 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedya.exe
[2010.06.04 22:30:58 | 000,823,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\kgzdy.sys
:services
:files
C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf
C:\cleansweep.exe
C:\Temp\fn4yj.exe
C:\Temp\debug.exe
c:\Temp\Pql.exe
c:\Temp\lxqg3foj.dll
:reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cleansweep.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfe8owijfisjhgs7ye39gjsoighsd7y3]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfg9w8gujsokgahi8gysgnsdgefshyjy]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M5T8QL3YW3]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mcexecwin]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xaknoleo]
:Commands
[purity]
[emptytemp]
[reboot]
Schritt 2 Berichte ob Du wieder in den Normalen Modus starten kannst.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
05.06.2010, 05:15
| #6 |
| | Antispyware Soft Infektion Hallo Daniel, ungeduld Euch Helfern gegenüber wäre ja ganz unangebracht! Vielen Dank, dass Du zu dieser Zeit schon nach uns unglücklichen schaust! Also ich habe Malwarebytes zuende laufen lasen, hier ist der Log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4052
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702
05.06.2010 06:06:28
mbam-log-2010-06-05 (06-06-28).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 244914
Laufzeit: 55 Minute(n), 47 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> No action taken.
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> No action taken.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Gruss, bis bald, Winfried |
|
05.06.2010, 06:03
| #7 |
| | Antispyware Soft Infektion Hallo Daniel, es scheint geschafft!  Der PC wurde nach OTL ganz normal gebootet, alle Software geht wieder, keine Fehlermeldungen mehr, das Icon in der Taskleiste ist auch weg. Hier das OTL Log: Code:
ATTFilter All processes killed
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\\Default_Search_URL| /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\skb deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\xaknoleo deleted successfully.
C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7BA40A1-74F2-52BD-F411-04B15A2C8953}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C7BA40A1-74F2-52BD-F411-04B15A2C8953}\ deleted successfully.
C:\WINDOWS\system32\k77a8.dll folder moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\\{C7BA40A1-74F2-52BD-F411-04B15A2C8953} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C7BA40A1-74F2-52BD-F411-04B15A2C8953}\ not found.
File C:\WINDOWS\system32\k77a8.dll not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\ not found.
File lgrncie.bat not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\ not found.
File lgrncie.bat not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\ not found.
File lgrncie.bat not found.
C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job moved successfully.
C:\WINDOWS\Pjedyb.exe moved successfully.
C:\WINDOWS\system32\k77a8.dl1 moved successfully.
C:\WINDOWS\Pjedya.exe moved successfully.
File move failed. C:\WINDOWS\system32\drivers\kgzdy.sys scheduled to be moved on reboot.
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf folder moved successfully.
File\Folder C:\cleansweep.exe not found.
File\Folder C:\Temp\fn4yj.exe not found.
File\Folder C:\Temp\debug.exe not found.
File\Folder c:\Temp\Pql.exe not found.
File\Folder c:\Temp\lxqg3foj.dll not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cleansweep.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfe8owijfisjhgs7ye39gjsoighsd7y3\ not found.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfg9w8gujsokgahi8gysgnsdgefshyjy\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M5T8QL3YW3\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mcexecwin\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xaknoleo\ deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrator
->Temp folder emptied: 0 bytes
User: Administrator.MFSRV01
->Temp folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: LocalService
->Temp folder emptied: 0 bytes
User: mfsys
->Temp folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
User: Reception
->Temp folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
Session Manager Temp folder emptied: 8395431 bytes
Session Manager Tmp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 8,00 mb
OTL by OldTimer - Version 3.2.5.3 log created on 06052010_062014
Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\system32\drivers\kgzdy.sys scheduled to be moved on reboot.
Registry entries deleted on Reboot...
Ich nehme jetzt trotzdem mal 'ne Mütze voll Schlaf. Viiiieeelen herzlichen Dank bis hierher!  Und die benutzten Softwares brauche ich später nur vom Desktop löschen, richtig? Danke und Gruss, Winfried Geändert von wgh52 (05.06.2010 um 06:10 Uhr) |
|
05.06.2010, 13:26
| #8 |
| /// Selecta Jahrusso | Antispyware Soft Infektion Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an. ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
05.06.2010, 15:26
| #9 |
| | Antispyware Soft Infektion Hallo! also Combofix.exe ist gelaufen, hatte Rootkit activity festgestellt, dann nach zweimaligem Boot läuft alles scheinbar normal. Hier ist der Log: Code:
ATTFilter ComboFix 10-06-03.01 - Administrator 05.06.2010 16:05:24.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.749 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56
c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56\enemies-names.txt
c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56\local.ini
c:\windows\command
c:\windows\command\EXTRACT.PIF
c:\windows\system32\driVERs\kgzdy.sys
U:\LOG.EXE
Infizierte Kopie von c:\windows\system32\drivers\dmload.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SSHNAS
-------\Legacy_kgzdy
-------\Service_kgzdy
((((((((((((((((((((((( Dateien erstellt von 2010-05-05 bis 2010-06-05 ))))))))))))))))))))))))))))))
.
2010-06-05 13:51 . 2010-06-05 14:09 -------- d-----w- c:\temp\Google Toolbar
2010-06-05 04:20 . 2010-06-05 04:20 -------- d-----w- C:\_OTL
2010-06-05 03:06 . 2010-06-05 03:06 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-06-05 02:36 . 2010-06-05 02:36 -------- d-----w- c:\programme\trend micro
2010-06-05 02:36 . 2010-06-05 02:36 -------- d-----w- C:\rsit
2010-06-04 23:29 . 2010-06-04 23:29 -------- d-----w- c:\windows\system32\nvapps.xml
2010-06-04 20:43 . 2010-06-04 20:43 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2010-06-04 20:31 . 2010-06-04 21:27 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads
2010-05-22 20:24 . 2010-05-22 20:26 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp
2010-05-22 20:22 . 2010-05-22 20:33 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip
2010-05-22 20:22 . 2010-05-22 20:22 15326 ----a-w- c:\windows\system32\SpoonUninstall-dBpoweramp Music Converter.dat
2010-05-22 20:22 . 2010-05-21 08:49 5652144 ----a-w- c:\windows\system32\SpoonUninstall.exe
2010-05-22 20:22 . 2010-05-22 20:22 -------- d-----w- c:\programme\dBpoweramp
2010-05-15 09:54 . 2010-05-15 10:08 -------- d-----w- c:\programme\FormatFactory
2010-05-11 08:43 . 2010-05-11 09:11 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz
2010-05-11 08:43 . 2010-05-11 08:43 -------- d-----w- c:\programme\Downloader Qobuz
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-05 14:13 . 2007-06-08 13:20 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\OpenOffice.org2
2010-05-08 22:35 . 2009-04-07 20:27 -------- d-----w- c:\dokumente und einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdcss
2010-04-29 13:39 . 2010-02-21 21:03 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-02-21 21:03 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-01 06:15 . 2004-08-04 12:00 63580 ----a-w- c:\windows\system32\perfc007.dat
2010-04-01 06:15 . 2004-08-04 12:00 391000 ----a-w- c:\windows\system32\perfh007.dat
2010-03-10 06:15 . 2004-08-04 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Octoshape Streaming Services"="c:\dokumente und einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2008-05-22 156944]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"="c:\programme\UltraVNC\WinVNC.exe" [2006-06-18 712704]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Administrator.MFSRV01\Startmen\Programme\Autostart\
OpenOffice.org 2.2.lnk - c:\programme\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
f Micros-Fidelio - FO Server.lnk - U:\FOSERVER.exe [2007-5-22 14167552]
i Micros-Fidelio - Interface.lnk - X:\IFCSTART.BAT [2007-5-21 10929]
NDAS Device Management.lnk - c:\programme\NDAS\System\ndasmgmt.exe [2005-3-31 180224]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
2002-02-15 08:51 24638 ----a-w- c:\windows\system32\PCANotify.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-18 07:58 40368 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2006-08-11 18:43 1519616 ----a-w- c:\windows\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2006-05-16 16:04 2879488 ----a-w- c:\windows\SkyTel.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\UltraVNC\\vncviewer.exe"=
"c:\\Programme\\UltraVNC\\winvnc.exe"=
"c:\\WINDOWS\\SYSTEM32\\WUAUCLT.EXE"=
"c:\\Programme\\Symantec\\pcAnywhere\\WINAW32.EXE"=
"c:\\Programme\\Symantec\\pcAnywhere\\AWHOST32.EXE"=
"c:\\Programme\\Symantec\\pcAnywhere\\awrem32.exe"=
"d:\\fidelio\\program\\Ifc7.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"38293:TCP"= 38293:TCP:IP PORT 38293
"1521:TCP"= 1521:TCP:IP PORT 1521
"443:TCP"= 443:TCP:IP PORT 443
"1621:TCP"= 1621:TCP:IP PORT 1621
"5900:TCP"= 5900:TCP:IP PORT 5900
"4400:TCP"= 4400:TCP:IP PORT 4400
"2967:TCP"= 2967:TCP:IP PORT 2967
R2 G4AAA;HospiX Entry - AAA Service;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4Cti;HospiX Entry - PBX Interface;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4DataImport;HospiX Entry - Call data import;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4FOC;HospiX Entry - PMS Connector;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 G4ServiceControl;HospiX Entry - Service Controller;c:\programme\HospiX Entry\g4.exe [30.07.2007 11:38 8540160]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [21.05.2007 15:36 6016]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [22.05.2007 16:20 37568]
R3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\drivers\BrFilt.sys [22.05.2007 14:12 2944]
R3 brparimg;Brother Multifunktions-parallel-Image-Treiber;c:\windows\system32\drivers\BrParImg.sys [22.05.2007 14:13 3168]
R3 BrParWdm;Brother WDM-Treiber (parallel);c:\windows\system32\drivers\BrParwdm.sys [22.05.2007 14:12 39808]
R3 BrSerWDM;Brother WDM-Treiber (seriell);c:\windows\system32\drivers\BrSerWdm.sys [22.05.2007 14:12 60416]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0;c:\windows\system32\drivers\fpcibase.sys [22.05.2007 16:20 444416]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [05.02.2010 23:34 135664]
.
Inhalt des "geplante Tasks" Ordners
2010-06-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34]
2010-06-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-05 21:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {2E96BB09-6934-4EE0-AEB4-DF2D85E6467C} = 192.168.1.2
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
MSConfigStartUp-Adobe ARM - c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
MSConfigStartUp-hsfe8owijfisjhgs7ye39gjsoighsd7y3eu - c:\temp\fn4yj.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-05 16:13
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x85D0278A]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7632f28
\Driver\atapi -> atapi.sys @ 0xf732e852
\Driver\iaStor -> iaStor.sys @ 0xf7279184
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014
ParseProcedure -> ntkrnlpa.exe @ 0x80577c76
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014
ParseProcedure -> ntkrnlpa.exe @ 0x80577c76
NDIS: Broadcom NetXtreme Gigabit Ethernet -> SendCompleteHandler -> 0x85d68ad0
PacketIndicateHandler -> NDIS.sys @ 0xf71a1a21
SendHandler -> NDIS.sys @ 0xf717f87b
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1BC7FF
malicious code @ sector 0x01D1BC802 !
PE file found in sector at 0x01D1BC818 !
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1606980848-823518204-839522115-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,9b,b1,e2,f2,d0,60,f9,44,bd,67,a5,\
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(2624)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Symantec\pcAnywhere\awhost32.exe
c:\programme\NDAS\System\ndassvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\BRMFRSMG.EXE
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\programme\OpenOffice.org 2.2\program\soffice.exe
c:\programme\OpenOffice.org 2.2\program\soffice.BIN
j:\fidelio\program\Ifc7.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-06-05 16:16:51 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-06-05 14:16
Vor Suchlauf: 9 Verzeichnis(se), 23.867.580.416 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 23.794.266.112 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - A354CE7D4C4F23CA8D6DA004B2E31CA4
Danke vielmals! Gruss, Winfried |
|
05.06.2010, 16:04
| #10 | |
| /// Selecta Jahrusso | Antispyware Soft InfektionZitat:
Starte den Rechner neu auf. Du wirst nun einen neuen Eintrag im Bootmenü sehen. Wiederherstellungskonsole Diese bitte auswählen. Nun solltest Du ein schwarzes Fenster vor Dir haben wo C:\windows:> zu sehen ist. Hier gib bitte fixmbr ein und drücke enter. Folge gegebenfalls den Anweisungen. Mit exit wird die Wiederherstellungskonsole verlassen und der Rechner startet neu. Schritt 2
Schritt 3 Starte bitte OTL.exe und klicke auf den Quick Scan Button. Schritt 4 Starte bitte GMER erneut und poste mir die Logfile. Bitte poste in Deiner nächsten Antwort mbr.log OTL.txt Gmer.txt Berichte wie der Rechner läuft.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
06.06.2010, 22:15
| #11 |
| | Antispyware Soft Infektion Beim Starten der Wiederherstellungskonsole bekomme ich ein Bluscreen mit der Meldung dass Windows heruntergefahren wurde um den PC nicht zu beschädigen und der Aufforderung CHKDSK laufen zu lassen.  Ich habe also MBR nicht laufen lassen können und darum die weiteren Scans auch nicht laufen lassen... Vorher hatte ich folgende Ergebnisse mit Malwarebytes, es scheint übrigens noch ein Browserhijack auf dem System zu sein und Rootkitactivity scheint auch da zu sein...: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4173
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
06.06.2010 22:27:36
mbam-log-2010-06-06 (22-27-36).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 252386
Laufzeit: 20 Minute(n), 43 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\kgzdy.sys.vir (Rootkit.Agent) -> No action taken.
C:\_OTL\MovedFiles\06052010_062014\C_Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe (Trojan.Agent.Gen) -> No action taken.
C:\_OTL\MovedFiles\06052010_062014\C_WINDOWS\system32\k77a8.dl1 (Trojan.Ertfor) -> No action taken.
Code:
ATTFilter ComboFix 10-06-06.01 - Administrator 06.06.2010 22:40:05.2.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.748 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator.MFSRV01\Desktop\CoFi.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\sbVWO408.exe c:\programme\Malwarebytes' Anti-Malware\mbam.exe c:\programme\UltraVNC\WinVNC.exe  Was soll ich machen?? Gruss, Winfried Geändert von wgh52 (06.06.2010 um 22:32 Uhr) |
|
07.06.2010, 11:35
| #12 |
| | Antispyware Soft Infektion Ich habe wegen des Browser Hijacks den ich sehe, ESET NOD32 installiert, lasse es gerade laufen und es hat W32/Mebroot.mbr gefunden, kann das aber nicht beseitigen. Hier scheint hier noch ein dickes Problem zu sein.... Malwarebytes hatte das nicht angezeigt, auch das Browserhijack wird nicht (mehr) angezeigt, ich kriege aber öfters unerwünschte redirects! Ich hoffe Ihr könnt mir weiterhelfen! Danke vielmals, Gruss, Winfried |
|
07.06.2010, 14:34
| #13 | |
| /// Selecta Jahrusso | Antispyware Soft Infektion Wer hat was von COmbofix gesagt ? Ich wars nicht  Die Funde von Malwarebytes sind in QuarantäneOrdnern der Tools. Zitat:
Ist dir diese Software bekannt bzw bewusst Installiert? UltraVNC Hast Du eine Festplattenverschlüsselung oder einen DELL PC ? Was spricht gegen ein neu aufsetzen ? Ist der Rechner in gewerblicher Nutzung ?
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
07.06.2010, 17:16
| #14 |
| | Antispyware Soft Infektion Hallo Daniel, UltraVNC ist ein Programm, das für Remote Services eines Softwarelieferanten installiert wurde. Aber auf der Meldung stand doch WinVNC... Neuaufsetzen möchte ich nur im äussersten Notfall, das wäre eine grosse Sache. Der PC ist ein Celsius von Fujitsu-Siemens, Festplattenverschlüsselung habe ich nicht, aber eine Festplattenspiegelung. Cofi habe ich wegen des Posts 05.06.2010 14:26 nochmals laufen lassen; ich hoffe kein zu schwerwiegender Fehler... Ja, teilweise ist der PC in gewerblicher Nutzung. Gruss, Winfried |
|
07.06.2010, 17:48
| #15 |
| /// Selecta Jahrusso | Antispyware Soft Infektion CF hat dir diese Datei gelöscht c:\programme\UltraVNC\WinVNC.exe Darum die Frage und wahrscheinlich darum die Fehlermeldung. Ganz ehrlich, bei ner MBR infection würde ich bei teilweiser gewerblicher Nutzung nicht lange spielen und formatieren. Und die Infection scheint nicht gerade sparsam zu sein, Malware nachzuladen. Helfen darf ich Dir weiterhin, aber ein Formatieren würde ich Dir ans Herz legen. Für den Fall dass Du doch bereinigen willst, sichere zu allererst alle wichtigen Daten. Keine ausführbaren Dateien mitsichern !!!
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
Textbox.
.
Linear-Darstellung
