| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Backdoor.Tidserv in ftdisk.sikWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
16.09.2010, 16:24
| #3 |
 |  Backdoor.Tidserv in ftdisk.sik Hallo markusg,
__________________schonmal danke für die Antwort! CF meinte kurz nach Scanbeginn er hätte RootKitAktivitäten festgestellt und müsste neustarten. Nach Klick auf OK, passierte aber nichts mehr, keine Festplattenaktivität, garnichts. Hab also manuell über den Power-Knopf am Rechner neu gestartet. Hoffe, das hat jetzt nichts verfälscht oder so. Jedenfalls hier das Log: Code:
ATTFilter ComboFix 10-09-15.02 - Daniel Baumann 16.09.2010 17:09:13.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1917.1500 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E5358-FFA4-00FC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {F33C2C6C-FFA4-00DA-0D24-347CA8A3377C}
AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\xxx\Anwendungsdaten\PriceGong\Data\z.xml
c:\windows\daemon.dll
c:\windows\jestertb.dll
c:\windows\system32\encapi32.dll
c:\windows\system32\lsprst7.dll
c:\windows\system32\msvcsv60.dll
c:\windows\system32\ssprs.dll
.
((((((((((((((((((((((( Dateien erstellt von 2010-08-16 bis 2010-09-16 ))))))))))))))))))))))))))))))
.
2010-09-15 22:33 . 2010-09-15 22:36 -------- d-----w- c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\NPE
2010-09-15 19:48 . 2010-09-15 19:48 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-09-15 19:48 . 2010-09-15 19:48 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-15 19:48 . 2010-09-15 19:48 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2010-09-15 19:48 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-15 19:48 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-15 19:10 . 2010-09-15 19:10 161296 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2010-09-11 10:35 . 2010-09-11 10:35 388096 ----a-r- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-05 15:10 . 2010-09-05 15:10 503808 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcp71.dll
2010-09-05 15:10 . 2010-09-05 15:10 499712 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\jmc.dll
2010-09-05 15:10 . 2010-09-05 15:10 348160 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcr71.dll
2010-09-05 15:10 . 2010-09-05 15:10 61440 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-sse.dll
2010-09-05 15:10 . 2010-09-05 15:10 12800 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-d3d.dll
2010-09-05 11:02 . 2010-07-17 03:00 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-09-05 10:56 . 2010-09-05 10:56 -------- d-----w- c:\programme\Defraggler
2010-09-05 10:55 . 2010-09-05 10:55 -------- d-----w- c:\programme\Microsoft.NET
2010-09-05 10:46 . 2010-07-20 13:05 81920 ----a-w- c:\windows\system32\igfxCoIn_v5284.dll
2010-09-05 09:41 . 2010-09-05 09:41 -------- d-----w- c:\programme\NT Registry Optimizer
2010-09-05 08:35 . 2010-07-29 03:33 666672 ----a-r- c:\windows\system32\drivers\SymEFA.sys
2010-09-05 08:35 . 2010-07-29 02:54 50096 ----a-r- c:\windows\system32\drivers\srtspx.sys
2010-09-05 08:35 . 2010-07-13 01:20 369072 ----a-r- c:\windows\system32\drivers\symtdi.sys
2010-09-05 08:35 . 2010-06-27 04:05 134704 ----a-r- c:\windows\system32\drivers\Ironx86.sys
2010-09-05 08:35 . 2010-06-13 10:50 339504 ----a-r- c:\windows\system32\drivers\SymDS.sys
2010-09-05 07:58 . 2010-09-05 08:35 60808 ----a-w- c:\windows\system32\S32EVNT1.DLL
2010-09-05 07:58 . 2010-09-05 08:35 126512 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS
2010-09-05 07:58 . 2010-09-05 08:02 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2010-09-05 07:58 . 2010-09-05 08:38 -------- d-----w- c:\windows\system32\drivers\NIS
2010-09-05 07:58 . 2010-09-05 08:43 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton
2010-09-05 07:58 . 2010-09-05 07:58 -------- d-----w- c:\programme\Norton Internet Security
2010-09-05 07:58 . 2010-09-05 07:58 -------- d-----w- c:\programme\Windows Sidebar
2010-09-05 07:54 . 2010-09-05 07:54 -------- d-----w- c:\programme\NortonInstaller
2010-09-05 03:09 . 2010-09-05 04:18 -------- d-----w- C:\NBRT
2010-09-04 18:21 . 2010-09-05 07:57 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NortonInstaller
2010-09-04 16:49 . 2010-09-04 16:49 -------- d-----w- c:\windows\system32\wbem\Repository
2010-09-04 16:49 . 2010-09-04 16:49 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2010-09-04 15:37 . 2010-09-04 15:40 -------- d-s---w- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2010-09-04 15:27 . 2010-09-04 15:27 -------- d-----w- c:\dokumente und einstellungen\Administrator\IETldCache
2010-09-04 15:15 . 2010-09-04 15:15 -------- d-----w- c:\dokumente und einstellungen\xxx\PrivacIE
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-16 14:42 . 2008-02-01 15:33 -------- d-----w- c:\programme\Mozilla Thunderbird
2010-09-15 22:28 . 2006-11-26 17:09 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2010-09-15 19:18 . 2009-12-17 18:41 -------- d-----w- c:\programme\SystemRequirementsLab
2010-09-15 17:25 . 2008-02-01 14:30 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\FileZilla
2010-09-15 17:20 . 2009-06-03 12:01 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype
2010-09-15 17:20 . 2008-08-18 20:06 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\skypePM
2010-09-14 23:11 . 2009-09-20 18:50 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\vlc
2010-09-13 15:57 . 2007-12-05 20:13 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Winamp
2010-09-13 15:53 . 2007-03-12 18:01 -------- d-----w- c:\programme\Winamp
2010-09-13 15:53 . 2010-03-25 18:05 -------- d-----w- c:\programme\Winamp Detect
2010-09-11 15:46 . 2010-07-04 15:31 -------- d-----w- c:\programme\ICQ7.1
2010-09-11 10:30 . 2008-09-15 17:34 -------- d-----w- c:\programme\KONAMI
2010-09-11 09:46 . 2010-05-06 21:58 16 ----a-w- c:\windows\msocreg32.dat
2010-09-08 17:47 . 2005-01-07 18:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-09-08 17:25 . 2010-07-06 21:49 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\regid.1986-12.com.adobe
2010-09-05 20:01 . 2004-08-04 12:00 126336 ----a-w- c:\windows\system32\drivers\ftdisk.sik
2010-09-05 11:15 . 2007-01-03 14:15 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Media Player Classic
2010-09-05 11:02 . 2006-11-03 12:05 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-09-05 11:02 . 2004-11-18 14:17 -------- d-----w- c:\programme\Java
2010-09-05 10:58 . 2004-08-04 12:00 94746 ----a-w- c:\windows\system32\perfc007.dat
2010-09-05 10:58 . 2004-08-04 12:00 502424 ----a-w- c:\windows\system32\perfh007.dat
2010-09-05 10:46 . 2009-09-23 15:34 -------- d-----w- c:\programme\CCleaner
2010-09-05 08:35 . 2010-09-05 07:58 805 ----a-w- c:\windows\system32\drivers\SYMEVENT.INF
2010-09-05 08:35 . 2010-09-05 07:58 7456 ----a-w- c:\windows\system32\drivers\SYMEVENT.CAT
2010-09-05 08:35 . 2004-11-18 14:14 -------- d-----w- c:\programme\Symantec
2010-09-05 08:27 . 2010-07-25 20:49 1324 ----a-w- c:\windows\system32\d3d9caps.dat
2010-09-04 16:49 . 2009-06-03 12:00 -------- d-----r- c:\programme\Skype
2010-09-04 16:49 . 2006-12-29 19:09 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype
2010-09-04 16:48 . 2008-12-04 16:18 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\dvdcss
2010-09-01 17:50 . 2010-05-26 15:00 87 ----a-w- c:\windows\system32\ssprs.tgz.vir
2010-09-01 17:50 . 2010-05-26 15:00 73 ----a-w- c:\windows\system32\ssprs.dll.vir
2010-09-01 17:50 . 2010-05-26 15:00 219 ----a-w- c:\windows\system32\lsprst7.tgz.vir
2010-09-01 17:50 . 2010-05-26 15:00 205 ----a-w- c:\windows\system32\lsprst7.dll.vir
2010-08-23 18:18 . 2010-01-16 15:54 -------- d-----w- c:\programme\PokerStars
2010-08-22 14:15 . 2007-04-19 12:47 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICQ
2010-08-17 13:17 . 2004-08-04 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-07 18:20 . 2010-08-07 18:20 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-08-07 18:20 . 2010-05-15 15:48 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-08-07 18:20 . 2009-07-29 19:48 -------- d-----w- c:\programme\DVDVideoSoft
2010-08-03 21:08 . 2009-07-20 20:19 -------- d-----w- c:\programme\TrackMania Nations ESWC
2010-08-03 20:29 . 2010-06-21 21:19 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Amazon
2010-08-03 20:26 . 2006-11-30 19:36 70880 -c--a-w- c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-31 17:01 . 2008-11-06 23:31 1 ----a-w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-31 16:31 . 2008-06-07 22:36 -------- d-----w- c:\programme\phase5
2010-07-24 15:24 . 2010-07-24 15:24 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Antares
2010-07-24 15:24 . 2010-07-24 15:24 -------- d-----w- c:\programme\Antares Audio Technologies
2010-07-24 15:24 . 2006-11-06 18:56 -------- d-----w- c:\programme\VstPlugins
2010-07-23 23:47 . 2008-02-01 14:30 -------- d-----w- c:\programme\FileZilla FTP Client
2010-07-22 15:48 . 2004-08-04 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-07-20 12:58 . 2009-07-13 12:44 4123648 ----a-w- c:\windows\system32\igxpdx32.dll
2010-07-20 12:57 . 2009-07-13 12:44 3482432 ----a-w- c:\windows\system32\igxpdv32.dll
2010-07-20 12:57 . 2009-07-13 12:44 2003584 ----a-w- c:\windows\system32\drivers\igxpmp32.sys
2010-07-20 12:57 . 2009-07-13 12:44 982240 ----a-w- c:\windows\system32\igkrng500.bin
2010-07-20 12:57 . 2009-07-13 12:44 58368 ----a-w- c:\windows\system32\igxprd32.dll
2010-07-20 12:57 . 2009-07-13 12:44 439308 ----a-w- c:\windows\system32\igcompkrng500.bin
2010-07-20 12:57 . 2009-07-13 12:44 182784 ----a-w- c:\windows\system32\igxpgd32.dll
2010-07-20 12:45 . 2009-07-13 12:44 10963456 ----a-w- c:\windows\system32\ig4icd32.dll
2010-07-20 12:37 . 2009-07-13 12:44 129536 ----a-w- c:\windows\system32\igfxtray.exe
2010-07-20 12:37 . 2009-07-13 12:44 194048 ----a-w- c:\windows\system32\igfxpph.dll
2010-07-20 12:36 . 2009-07-13 12:44 163328 ----a-w- c:\windows\system32\hkcmd.exe
2010-07-20 12:36 . 2009-07-13 12:44 138752 ----a-w- c:\windows\system32\igfxpers.exe
2010-07-20 12:36 . 2009-07-13 12:44 23552 ----a-w- c:\windows\system32\igfxexps.dll
2010-07-20 12:36 . 2009-07-13 12:44 172032 ----a-w- c:\windows\system32\igfxext.exe
2010-07-20 12:36 . 2009-07-13 12:44 130048 ----a-w- c:\windows\system32\igfxdo.dll
2010-07-20 12:36 . 2009-07-13 12:44 57344 ----a-w- c:\windows\system32\igfxsrvc.dll
2010-07-20 12:36 . 2009-07-13 12:44 257536 ----a-w- c:\windows\system32\igfxsrvc.exe
2010-07-20 12:36 . 2009-12-17 18:45 3139584 ----a-w- c:\windows\system32\GfxUI.exe
2010-07-20 12:36 . 2009-07-13 12:44 94720 ----a-w- c:\windows\system32\hccutils.dll
2010-07-20 12:36 . 2009-12-17 18:45 121344 ----a-w- c:\windows\system32\gfxSrvc.dll
2010-07-20 12:36 . 2009-12-17 18:45 4096 ----a-w- c:\windows\system32\IGFXDEVLib.dll
2010-07-20 12:36 . 2009-07-13 12:44 214016 ----a-w- c:\windows\system32\igfxdev.dll
2010-07-20 12:35 . 2009-07-13 12:44 828928 ----a-w- c:\windows\system32\igfxress.dll
2010-07-06 21:31 . 2010-07-06 21:31 10134 ----a-r- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{024521CF-C07E-4F8E-8481-0D75695E03AF}\ARPPRODUCTICON.exe
2010-07-06 21:28 . 2010-07-06 21:28 38784 ----a-w- c:\dokumente und einstellungen\Default User.WINDOWS\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-06-30 12:28 . 2004-08-04 12:00 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-26 16:12 . 2010-06-26 16:12 2568656 ----a-w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe
2010-06-24 12:22 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-04 12:00 1852032 ----a-w- c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-04 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys
2010-06-18 17:44 . 2004-08-04 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll
2009-12-27 18:45 . 2009-12-27 18:45 561 ----a-w- c:\programme\StandaloneRecallCCAssign.f8c
2009-12-27 18:45 . 2009-12-27 18:45 1072 ----a-w- c:\programme\StandaloneRecall.fm8
2001-11-05 07:30 . 2009-02-28 13:54 165376 ------w- c:\programme\UNWISE.EXE
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2007-05-13 21:08 . 2007-05-13 21:08 5 -csha-w- c:\windows\system32\bcadadfeee_d.dll
2007-05-13 21:06 . 2007-05-13 21:06 5 -csha-w- c:\windows\system32\bcadadfeee_s.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-12-26 18081280]
"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 307200]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-20 129536]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-20 163328]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-20 138752]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 11 (0xb)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"LexBceS"=2 (0x2)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HotKeysCmds"=c:\windows\system32\hkcmd.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\ICQ7.1\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 stwlfbus;stwlfbus;c:\windows\system32\drivers\stwlfbus.sys [27.04.2003 12:39 8704]
R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1201000.025\SymDS.sys [05.09.2010 10:35 339504]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1201000.025\SymEFA.sys [05.09.2010 10:35 666672]
R1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100901.003\BHDrvx86.sys [01.09.2010 00:57 692272]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1201000.025\Ironx86.sys [05.09.2010 10:35 134704]
R2 NIS;Norton Internet Security;c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe [05.09.2010 10:35 126904]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [19.04.2007 16:23 33792]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [05.09.2010 10:02 102448]
R3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100914.003\IDSXpx86.sys [16.09.2010 16:51 331640]
R3 st3wolf;st3wolf;c:\windows\system32\drivers\st3wolf.sys [27.04.2003 11:43 99360]
S1 as6eio;as6eio;c:\windows\system32\drivers\as6eio.SYS --> c:\windows\system32\drivers\as6eio.SYS [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.12.2009 13:52 135664]
S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 10:58 11336]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [03.01.2010 19:57 13224]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [05.10.2009 19:24 86824]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [05.10.2009 19:24 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [05.10.2009 19:24 114728]
S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [05.10.2009 19:24 106208]
S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [05.10.2009 19:24 26024]
S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [05.10.2009 19:24 104744]
S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [05.10.2009 19:24 109864]
S3 SampleScanner;Ultima2000 Scanner;c:\windows\system32\DRIVERS\GT680x.sys --> c:\windows\system32\DRIVERS\GT680x.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.07.2009 01:12 722416]
.
Inhalt des "geplante Tasks" Ordners
2010-09-15 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 03:08]
2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]
2010-09-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\baumann\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=
FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn\components\coFFPlgn.dll
FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn\components\IPSFFPl.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: nglayout.initialpaint.delay - 300
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.switch.threshold - 650000
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
------- Dateityp-Verknüpfung -------
.
.txt=
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-16 17:13
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A56B088]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb98ecf28
\Driver\ACPI -> ACPI.sys @ 0xb977ecb8
\Driver\atapi -> 0x8a56b088
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168D(P)/8111D(P) PCI-E Gigabit Ethernet NIC #2 -> SendCompleteHandler -> NDIS.sys @ 0xb952fbb0
PacketIndicateHandler -> NDIS.sys @ 0xb953ca21
SendHandler -> NDIS.sys @ 0xb951a87b
Warning: possible MBR rootkit infection !
user & kernel MBR OK
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NIS]
"ImagePath"="\"c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe\" /s \"NIS\" /m \"c:\programme\Norton Internet Security\Engine\18.1.0.37\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iadbiiibeagnjnadmd"=hex:6a,61,6d,65,62,65,70,67,6f,6e,67,64,6a,6f,61,6c,6f,6d,
6b,69,00,06
"habbgiihkmpljcpi"=hex:6a,61,6d,65,70,64,66,6a,66,65,61,63,61,6e,68,6e,63,63,
68,6a,00,4d
[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:59,2f,a4,60,15,54,71,e3,47,70,a8,23,60,88,03,a4,6c,dd,4d,1e,95,78,36,
7d,71,f3,84,2e,20,4f,d5,99,21,7b,1c,15,6a,95,32,26,32,1f,4f,e0,1c,36,86,f6,\
"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d
[HKEY_LOCAL_MACHINE\software\Classes\Applications\WINWORD.EXE\shell]
@DACL=(02 0000)
@="Open"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2010-09-16 17:15:05
ComboFix-quarantined-files.txt 2010-09-16 15:15
Vor Suchlauf: 18 Verzeichnis(se), 135.330.201.600 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 135.305.781.248 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /tutag=ggmcvz
- - End Of File - - 147075EF6FAB4E6A16ACB8A84B8D1627
|
| Themen zu Backdoor.Tidserv in ftdisk.sik |
| adobe, adware.trymedia, backdoor.tidserv, bho, bonjour, computer, converter, einstellungen, entfernen, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, hängen, internet, internet explorer, intrusion prevention, logfile, mozilla, mp3, opera.exe, pdf, plug-in, programme, rootkit, security, software, symantec, tablet, trymedia, virus, windows xp |
Baum-Darstellung