Downloads im Hintergrund - Hijackthis und Malwarbytes Log

KSchluesi · 05.10.2010, 00:41

Servus @ all,

seit einiger Zeit beobachte ich, dass svchost.exe im Hintergrund größere Datenmengen hochlädt und downloadet, obwohl ich keine Windows updates abgerufen habe und automatische updates abgeschaltet sind.

Ich habe AVIRA als Anti Virenprogramm, Lavasoft Ad-Aware als Anti Spyware und Comodo Internet Security als Firewall laufen. Alle 3 Programme behaupten nach scans, mein Rechner wäre sauber. Auch ein scan mit DE cleaner und mit GMER verlief ohne Ergebnis - oder besser mit dem Ergebnis, dass mein Rechner angeblich sauber wäre.

Hab heute zunächst mit HijackThis gescannt.
Ein scan mit Malwarebytes hat 4 Infektionen gefunden. Protokolle als Anlage.

Bitte schaut mal drüber, eine Reinigung mit Malwarebytes hab ich jetzt noch nicht durchgeführt.

Protokoll HijackThis:
HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:37:16, on 04.10.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
 
Running processes:
C:\WINXP\Explorer.EXE
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\WINXP\SOUNDMAN.EXE
C:\WINXP\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
F:\COMODO\COMODO Internet Security\cfp.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
F:\Mobile Partner\Mobile Partner.exe
D:\Downloads\HiThere2.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - F:\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - F:\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Internet Security] "F:\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [QuickTime Task] "F:\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Download by Orbit - res://F:\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://F:\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://F:\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://F:\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9936DD4B-0007-4A25-AAEE-194FDE57A2A6}: NameServer = 156.154.70.22,156.154.71.22
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C91B09A-0258-4975-8C0E-0C839A4016DC}: NameServer = 156.154.70.22,156.154.71.22
O20 - AppInit_DLLs: C:\WINXP\system32\guard32.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - F:\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NMSAccess - Unknown owner - F:\CDBurnerXP\NMSAccessU.exe
 
--
End of file - 5437 bytes

--- --- ---

Und hier das Protokoll von Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4742

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.10.2010 01:24:47
mbam-log-2010-10-05 (01-24-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Durchsuchte Objekte: 168152
Laufzeit: 32 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\nsldap32v50.dll (Spyware.OnlineGames) -> No action taken.
C:\Programme\nsldappr32v50.dll (Spyware.OnlineGames) -> No action taken.
C:\Dokumente und Einstellungen\All Users\readme.bat (Trojan.Downloader) -> No action taken.

Chris4You · 05.10.2010, 06:59

Hi,

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe

Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

Unter Extra Registry, wähle bitte Use SafeList

Klicke nun auf Run Scan links oben

Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

Poste die Logfiles hier in den Thread

chris

KSchluesi · 05.10.2010, 07:22

Danke Chris,

Programme hab ich schon runter geladen, mache mich dann an die Arbeit und melde mich wieder.

Beste Grüße

Klaus

KSchluesi · 05.10.2010, 08:15

Combo Fix Log:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-10-04.01 - The Secret 05.10.2010   8:53.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\All Users\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\INSTALL.LOG
F:\Uninstall.exe

Infizierte Kopie von c:\winxp\system32\ctfmon.exe wurde gefunden und desinfiziert 
Kopie von - c:\winxp\system32\ctfmon.exe.backup wurde wiederhergestellt 

.
(((((((((((((((((((((((   Dateien erstellt von 2010-09-05 bis 2010-10-05  ))))))))))))))))))))))))))))))
.

2010-10-04 22:17 . 2010-10-04 22:17	--------	d-----w-	c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Malwarebytes
2010-10-04 22:16 . 2010-04-29 13:39	38224	----a-w-	c:\winxp\system32\drivers\mbamswissarmy.sys
2010-10-04 22:16 . 2010-10-04 22:16	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-04 22:16 . 2010-04-29 13:39	20952	----a-w-	c:\winxp\system32\drivers\mbam.sys
2010-10-03 06:37 . 2010-10-03 06:37	--------	d-----w-	c:\dokumente und einstellungen\The Secret\Lokale Einstellungen\Anwendungsdaten\Buhl
2010-10-03 06:33 . 2010-10-03 06:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2010-10-02 10:11 . 2010-10-02 10:11	--------	d-----w-	c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Apple Computer
2010-09-30 19:27 . 2010-09-30 19:27	552	----a-w-	c:\winxp\system32\d3d8caps.dat
2010-09-27 22:05 . 2010-09-27 22:05	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2010-09-27 22:05 . 2010-09-28 05:34	--------	d-----w-	c:\dokumente und einstellungen\The Secret\Lokale Einstellungen\Anwendungsdaten\NPE
2010-09-27 12:44 . 2010-09-27 12:44	--------	d-----w-	c:\dokumente und einstellungen\The Secret\Lokale Einstellungen\Anwendungsdaten\Help
2010-09-27 12:41 . 2010-09-27 12:41	--------	d-----w-	c:\programme\CICLO
2010-09-27 12:39 . 2010-09-27 12:39	766	----a-r-	c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Microsoft\Installer\{1EAE0B34-CA37-41CB-83C0-9AA54B78D552}\CICLO4.exe
2010-09-27 12:39 . 2010-09-27 12:39	766	----a-r-	c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Microsoft\Installer\{1EAE0B34-CA37-41CB-83C0-9AA54B78D552}\CICLO3.exe
2010-09-27 12:39 . 2010-09-27 12:39	40960	----a-r-	c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Microsoft\Installer\{1EAE0B34-CA37-41CB-83C0-9AA54B78D552}\_8CA5CAE1A261_4CAA_8D98_70B5696C2059.exe
2010-09-27 12:38 . 2010-09-27 12:38	--------	d-----w-	c:\programme\Gemeinsame Dateien\Borland Shared
2010-09-26 12:08 . 2010-09-26 12:08	--------	d-----w-	c:\dokumente und einstellungen\The Secret\Anwendungsdaten\ProgSense
2010-09-26 11:07 . 2010-09-26 11:07	--------	d-----w-	C:\downloads
2010-09-26 11:07 . 2010-09-26 11:07	--------	d-----w-	c:\dokumente und einstellungen\The Secret\Anwendungsdaten\GrabPro
2010-09-26 11:07 . 2010-09-29 12:18	--------	d-----w-	c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Orbit
2010-09-07 18:41 . 2008-04-13 21:24	22016	-c--a-w-	c:\winxp\system32\dllcache\msircomm.sys
2010-09-07 18:41 . 2008-04-13 21:24	22016	----a-w-	c:\winxp\system32\drivers\MSIRCOMM.sys
2010-09-07 08:33 . 2010-09-07 08:33	--------	d-----w-	c:\dokumente und einstellungen\The Secret\Lokale Einstellungen\Anwendungsdaten\Identities

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-05 06:42 . 2010-08-12 15:30	1474832	----a-w-	c:\winxp\system32\drivers\sfi.dat
2010-10-05 06:32 . 2010-08-12 15:37	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-10-03 06:34 . 2010-08-10 13:58	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-10-02 10:09 . 2010-08-14 13:27	664	----a-w-	c:\winxp\system32\d3d9caps.dat
2010-10-01 21:16 . 2010-08-14 05:39	--------	d-----w-	c:\dokumente und einstellungen\The Secret\Anwendungsdaten\vlc
2010-08-30 08:55 . 2010-08-16 10:09	--------	d-----w-	c:\programme\Gemeinsame Dateien\Teleca Shared
2010-08-30 08:55 . 2010-08-16 10:07	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2010-08-30 08:55 . 2008-04-14 08:00	81506	----a-w-	c:\winxp\system32\perfc007.dat
2010-08-30 08:55 . 2008-04-14 08:00	452470	----a-w-	c:\winxp\system32\perfh007.dat
2010-08-30 08:53 . 2010-08-16 10:11	--------	d-----w-	c:\programme\Sony Ericsson
2010-08-30 08:50 . 2010-08-13 18:20	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2010-08-17 10:14 . 2010-08-17 10:14	--------	d-----w-	c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Canneverbe Limited
2010-08-17 10:14 . 2010-08-12 10:56	62352	----a-w-	c:\dokumente und einstellungen\The Secret\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-17 10:13 . 2010-08-17 10:13	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
2010-08-17 09:40 . 2010-08-17 09:40	--------	d-----w-	c:\programme\MSXML 4.0
2010-08-17 08:39 . 2010-08-17 08:39	--------	d-----w-	c:\programme\MSBuild
2010-08-17 08:39 . 2010-08-17 08:39	--------	d-----w-	c:\programme\Reference Assemblies
2010-08-16 10:18 . 2010-08-16 10:18	--------	d-----w-	c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Teleca
2010-08-16 10:13 . 2010-08-10 13:58	--------	d-----w-	c:\programme\Gemeinsame Dateien\InstallShield
2010-08-16 10:10 . 2010-08-16 10:10	--------	d-----w-	c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Sony Ericsson
2010-08-15 09:51 . 2010-08-15 09:51	503808	----a-w-	c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-191b2913-n\msvcp71.dll
2010-08-15 09:51 . 2010-08-15 09:51	499712	----a-w-	c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-191b2913-n\jmc.dll
2010-08-15 09:51 . 2010-08-15 09:51	348160	----a-w-	c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-191b2913-n\msvcr71.dll
2010-08-15 09:49 . 2010-08-15 09:49	61440	----a-w-	c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-7200dd04-n\decora-sse.dll
2010-08-15 09:49 . 2010-08-15 09:49	12800	----a-w-	c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-7200dd04-n\decora-d3d.dll
2010-08-14 22:34 . 2010-08-14 22:34	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-08-14 22:33 . 2010-08-14 22:34	423656	----a-w-	c:\winxp\system32\deployJava1.dll
2010-08-14 05:49 . 2010-08-14 05:49	--------	d-----w-	c:\programme\extensions
2010-08-14 05:49 . 2010-08-14 05:49	--------	d-----w-	c:\programme\uninstall
2010-08-14 05:49 . 2010-08-14 05:49	--------	d-----w-	c:\programme\isp
2010-08-14 05:49 . 2010-08-14 05:49	--------	d-----w-	c:\programme\components
2010-08-14 05:49 . 2010-08-14 05:49	--------	d-----w-	c:\programme\chrome
2010-08-14 05:49 . 2010-08-14 05:49	--------	d-----w-	c:\programme\res
2010-08-14 05:49 . 2010-08-14 05:49	--------	d-----w-	c:\programme\greprefs
2010-08-14 05:49 . 2010-08-14 05:49	--------	d-----w-	c:\programme\defaults
2010-08-14 05:42 . 2010-08-14 05:42	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-08-14 05:41 . 2010-08-14 05:41	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2010-08-14 05:41 . 2010-08-14 05:41	--------	d-----w-	c:\programme\Apple Software Update
2010-08-14 05:41 . 2010-08-14 05:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-08-13 21:10 . 2010-08-13 21:10	--------	d-----w-	c:\programme\Microsoft.NET
2010-08-13 21:09 . 2010-08-13 21:09	--------	d-----w-	c:\programme\Microsoft Works
2010-08-13 20:15 . 2010-08-13 20:15	--------	d-----w-	c:\programme\Java
2010-08-13 20:15 . 2010-08-13 20:15	152576	----a-w-	c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Sun\Java\jre1.6.0_16\lzma.dll
2010-08-13 18:29 . 2010-08-13 18:28	--------	d-----w-	c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-08-13 18:29 . 2010-08-13 18:29	--------	d-----w-	c:\programme\DVDVideoSoft
2010-08-12 15:42 . 2010-08-12 15:42	95024	----a-w-	c:\winxp\system32\drivers\SBREDrv.sys
2010-08-12 15:15 . 2010-08-12 15:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Comodo Downloader
2010-08-12 12:15 . 2010-08-12 12:15	0	----a-w-	c:\winxp\nsreg.dat
2010-08-12 10:14 . 2010-08-12 09:46	--------	d-----w-	c:\programme\Intel
2010-08-12 10:07 . 2010-08-12 10:14	466944	----a-w-	c:\winxp\system32\w29NCPA.dll
2010-08-12 10:07 . 2010-08-12 10:14	3298432	----a-w-	c:\winxp\system32\drivers\w29n51.sys
2010-08-12 10:07 . 2010-08-12 10:14	1671168	----a-w-	c:\winxp\system32\w29mlres.dll
2010-08-12 10:00 . 2010-08-12 10:00	--------	d-----w-	c:\programme\Synaptics
2010-08-12 09:54 . 2010-08-12 09:54	--------	d-----w-	c:\programme\ltmoh
2010-08-10 13:58 . 2010-08-10 13:58	--------	d-----w-	c:\programme\Fujitsu
2010-08-10 13:37 . 2010-08-10 12:55	86315	----a-w-	c:\winxp\pchealth\helpctr\OfflineCache\index.dat
2010-08-10 12:58 . 2010-08-10 12:58	--------	d-----w-	c:\programme\microsoft frontpage
2010-08-10 12:55 . 2010-08-10 12:55	--------	d-----w-	c:\programme\Online-Dienste
2010-08-10 12:54 . 2010-08-10 12:54	--------	d-----w-	c:\programme\Gemeinsame Dateien\Dienste
2010-08-10 12:53 . 2010-08-10 12:53	21740	----a-w-	c:\winxp\system32\emptyregdb.dat
2010-08-10 12:52 . 2010-08-10 12:52	--------	d-----w-	c:\programme\Windows Media Connect 2
2009-08-12 18:38 . 2010-08-14 05:49	721	----a-w-	c:\programme\updater.ini
2009-08-12 18:38 . 2010-08-14 05:49	261	----a-w-	c:\programme\README.txt
2009-08-12 17:53 . 2010-08-14 05:49	478	----a-w-	c:\programme\softokn3.chk
2009-08-12 17:53 . 2010-08-14 05:49	478	----a-w-	c:\programme\freebl3.chk
2009-08-12 17:53 . 2010-08-14 05:49	254077	----a-w-	c:\programme\freebl3.dll
2009-08-12 17:53 . 2010-08-14 05:49	168044	----a-w-	c:\programme\softokn3.dll
2009-08-12 17:53 . 2010-08-14 05:49	6452	----a-w-	c:\programme\LICENSE.txt
2009-08-12 17:53 . 2010-08-14 05:49	107903	----a-w-	c:\programme\license.html
.

------- Sigcheck -------

[-] 2008-12-10 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LoadBtnHnd"="c:\programme\Fujitsu\BtnHnd\BtnHnd.exe" [2003-08-20 61440]
"SoundMan"="SOUNDMAN.EXE" [2004-06-18 67584]
"AGRSMMSG"="AGRSMMSG.exe" [2004-07-05 88363]
"LtMoh"="c:\programme\ltmoh\Ltmoh.exe" [2004-07-05 184320]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-06 98304]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-06 536576]
"QuickTime Task"="f:\quicktime\QTTask.exe" [2009-11-10 417792]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="f:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"Synchronization Manager"="c:\winxp\system32\mobsync.exe" [2008-04-14 144384]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"f:\\Orbitdownloader\\orbitdm.exe"=
"f:\\Orbitdownloader\\orbitnet.exe"=
"f:\\firefox.exe"=

S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\winxp\system32\drivers\ewusbnet.sys [13.08.2010 18:41 114432]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\winxp\system32\drivers\ewusbdev.sys [13.08.2010 18:41 100736]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
IE: &Download by Orbit - f:\orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - f:\orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - f:\orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - f:\orbitdownloader\orbitmxt.dll/202
IE: Nach Microsoft &Excel exportieren - f:\micros~1\OFFICE11\EXCEL.EXE/3000
TCP: {9936DD4B-0007-4A25-AAEE-194FDE57A2A6} = 156.154.70.22,156.154.71.22
TCP: {9C91B09A-0258-4975-8C0E-0C839A4016DC} = 156.154.70.22,156.154.71.22
FF - ProfilePath - c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Mozilla\Firefox\Profiles\t895gae0.default\
FF - prefs.js: browser.startup.homepage - hxxp://anonymouse.org/anonwww_de.html
FF - prefs.js: network.proxy.type - 4
FF - component: f:\orbitdownloader\addons\OneClickYouTubeDownloader\components\GrabXpcom.dll
FF - plugin: f:\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: f:\java\jre6\bin\new_plugin\npjp2.dll
FF - plugin: f:\programme\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
FF - plugin: f:\quicktime\Plugins\npqtplugin.dll
FF - plugin: f:\quicktime\Plugins\npqtplugin2.dll
FF - plugin: f:\quicktime\Plugins\npqtplugin3.dll
FF - plugin: f:\quicktime\Plugins\npqtplugin4.dll
FF - plugin: f:\quicktime\Plugins\npqtplugin5.dll
FF - plugin: f:\quicktime\Plugins\npqtplugin6.dll
FF - plugin: f:\quicktime\Plugins\npqtplugin7.dll
FF - plugin: f:\vlc\npvlc.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\winxp\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
f:\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
f:\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
f:\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-HijackThis - d:\downloads\HijackThis.exe


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINXP\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3572)
c:\winxp\system32\webcheck.dll
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
f:\java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
f:\cdburnerxp\NMSAccessU.exe
c:\winxp\SOUNDMAN.EXE
c:\winxp\AGRSMMSG.exe
c:\winxp\system32\wscntfy.exe
c:\winxp\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-05  09:00:42 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-10-05 07:00

Vor Suchlauf: 3.843.059.712 Bytes frei
Nach Suchlauf: 3.938.181.120 Bytes frei

- - End Of File - - CEFADAF6B2701E09F3F349255A3B87E0

--- --- ---

KSchluesi · 05.10.2010, 08:25

OTL Log:OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 05.10.2010 09:19:52 - Run 1
OTL by OldTimer - Version 3.2.14.1     Folder = C:\Dokumente und Einstellungen\The Secret\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 80,00% Memory free
3,00 Gb Paging File | 3,00 Gb Available in Paging File | 96,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 10,00 Gb Total Space | 3,68 Gb Free Space | 36,85% Space Free | Partition Type: NTFS
Drive D: | 48,83 Gb Total Space | 17,87 Gb Free Space | 36,60% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
Drive F: | 15,70 Gb Total Space | 13,75 Gb Free Space | 87,59% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: THESECRET
Current User Name: The Secret
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 1 Day
Output = Standard
 
========== Processes (SafeList) ==========
 
PRC - [2010.10.05 08:20:46 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\The Secret\Desktop\OTL.exe
PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2010.03.04 23:38:00 | 000,071,096 | ---- | M] () -- F:\CDBurnerXP\NMSAccessU.exe
PRC - [2008.04.14 10:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINXP\explorer.exe
PRC - [2004.07.05 21:30:00 | 000,184,320 | ---- | M] (Agere Systems) -- C:\Programme\ltmoh\ltmoh.exe
PRC - [2004.06.18 14:01:02 | 000,067,584 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINXP\SOUNDMAN.EXE
PRC - [2004.05.07 01:19:32 | 000,098,304 | ---- | M] (Synaptics, Inc.) -- C:\Programme\Synaptics\SynTP\SynTPLpr.exe
PRC - [2003.08.20 15:54:08 | 000,061,440 | ---- | M] (FUJITSU LIMITED) -- C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.10.05 08:20:46 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\The Secret\Desktop\OTL.exe
MOD - [2008.04.14 10:00:00 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINXP\system32\msscript.ocx
MOD - [2004.05.07 01:19:26 | 000,066,048 | ---- | M] (Synaptics, Inc.) -- C:\WINXP\system32\SynTPFcs.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv)
SRV - File not found [Disabled | Stopped] -- C:\WINXP\System32\hidserv.dll -- (HidServ)
SRV - [2010.03.04 23:38:00 | 000,071,096 | ---- | M] () [Auto | Running] -- F:\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Programme\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOKUME~1\THESEC~1\LOKALE~1\Temp\catchme.sys -- (catchme)
DRV - [2010.08.12 12:07:49 | 003,298,432 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\w29n51.sys -- (w29n51) Intel(R)
DRV - [2009.12.08 20:19:12 | 000,114,432 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\ewusbnet.sys -- (ewusbnet)
DRV - [2009.12.07 19:53:12 | 000,102,912 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2009.11.12 14:48:56 | 000,007,168 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\WINXP\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009.10.12 15:21:54 | 000,100,736 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\ewusbdev.sys -- (hwusbdev)
DRV - [2005.07.25 04:04:08 | 000,048,640 | R--- | M] (Prolific Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\WINXP\system32\drivers\ser2pl.sys -- (Ser2pl)
DRV - [2004.08.05 01:00:00 | 000,121,344 | R--- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2004.07.05 21:30:00 | 001,267,724 | R--- | M] (Agere Systems) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2004.06.21 14:23:20 | 000,626,204 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2004.05.07 01:14:56 | 000,182,688 | ---- | M] (Synaptics, Inc.) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\SynTP.sys -- (SynTP)
DRV - [2004.02.24 08:38:52 | 000,400,384 | ---- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\ALCXSENS.SYS -- (ALCXSENS)
DRV - [2003.08.20 15:54:08 | 000,019,712 | ---- | M] (FUJITSU LIMITED) [Kernel | Auto | Running] -- C:\Programme\Fujitsu\BtnHnd\BtnHnd.sys -- (BtnHnd)
DRV - [2001.08.18 04:35:52 | 000,035,913 | ---- | M] (SMC) [Kernel | On_Demand | Running] -- C:\WINXP\system32\drivers\smcirda.sys -- (SMCIRDA)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 40 15 5D 56 81 5E CB 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "hxxp://anonymouse.org/anonwww_de.html"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {35379F86-8CCB-4724-AE33-4278DE266C70}:1.0.5
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2
FF - prefs.js..extensions.enabledItems: {00084897-021a-4361-8423-083407a033e0}:1.4
FF - prefs.js..network.proxy.type: 4
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: F:\components [2010.09.20 14:02:31 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: F:\plugins [2010.09.20 14:02:32 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: F:\components [2010.09.20 14:02:31 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: F:\plugins [2010.09.20 14:02:32 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Components: F:\components [2010.09.20 14:02:31 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Plugins: F:\plugins [2010.09.20 14:02:32 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Components: C:\Programme\components [2010.08.14 07:49:11 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.23\extensions\\Plugins: C:\Programme\plugins
 
[2010.08.12 14:15:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\The Secret\Anwendungsdaten\Mozilla\Extensions
[2010.10.04 15:41:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\The Secret\Anwendungsdaten\Mozilla\Firefox\Profiles\t895gae0.default\extensions
[2010.09.27 23:47:10 | 000,000,000 | ---D | M] (CS Lite) -- C:\Dokumente und Einstellungen\The Secret\Anwendungsdaten\Mozilla\Firefox\Profiles\t895gae0.default\extensions\{00084897-021a-4361-8423-083407a033e0}
[2010.09.14 16:13:15 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\The Secret\Anwendungsdaten\Mozilla\Firefox\Profiles\t895gae0.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.09.27 23:39:36 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\The Secret\Anwendungsdaten\Mozilla\Firefox\Profiles\t895gae0.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
 
O1 HOSTS File: ([2010.10.05 08:58:10 | 000,000,027 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Octh Class) - {000123B4-9B42-4900-B3F7-F4B073EFC214} - F:\Orbitdownloader\orbitcth.dll (Orbitdownloader.com)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Grab Pro) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - F:\Orbitdownloader\GrabPro.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (Grab Pro) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - F:\Orbitdownloader\GrabPro.dll ()
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe (FUJITSU LIMITED)
O4 - HKLM..\Run: [LtMoh] C:\Programme\ltmoh\ltmoh.exe (Agere Systems)
O4 - HKLM..\Run: [SoundMan] C:\WINXP\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRecentDocsNetHood = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: &Download by Orbit - F:\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com)
O8 - Extra context menu item: &Grab video by Orbit - F:\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com)
O8 - Extra context menu item: Do&wnload selected by Orbit - F:\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com)
O8 - Extra context menu item: Down&load all by Orbit - F:\Orbitdownloader\orbitmxt.dll (Orbitdownloader.com)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - F:\Microsoft Office\OFFICE11\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\Microsoft Office\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.08.10 14:56:41 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 1 Day ==========
 
[2010.10.05 08:52:13 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINXP\SWXCACLS.exe
[2010.10.05 08:52:13 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINXP\SWREG.exe
[2010.10.05 08:52:13 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINXP\SWSC.exe
[2010.10.05 08:52:13 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINXP\NIRCMD.exe
[2010.10.05 08:52:10 | 000,000,000 | ---D | C] -- C:\WINXP\ERDNT
[2010.10.05 08:51:44 | 000,000,000 | ---D | C] -- C:\Qoobox
[2010.10.05 08:51:12 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\The Secret\Recent
[2010.10.05 08:41:54 | 000,000,000 | ---D | C] -- C:\Config.Msi
[2010.10.05 08:19:21 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\The Secret\Desktop\OTL.exe
[2010.10.05 00:17:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\The Secret\Anwendungsdaten\Malwarebytes
[2010.10.05 00:16:43 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys
[2010.10.05 00:16:40 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys
[2010.10.05 00:16:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.10.04 23:18:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\The Secret\Desktop\MFTools
[2010.08.14 07:49:11 | 000,023,672 | ---- | C] (Mozilla.org) -- C:\Programme\MapiProxy_InUse.dll
[2010.08.14 07:49:11 | 000,011,888 | ---- | C] (Mozilla.org) -- C:\Programme\mozMapi32_InUse.dll
[2010.08.14 07:49:10 | 000,012,392 | ---- | C] (Mozilla Foundation) -- C:\Programme\xpistub.dll
[2010.08.14 07:49:09 | 008,318,056 | ---- | C] (Mozilla Corporation) -- C:\Programme\thunderbird.exe
[2010.08.14 07:49:09 | 000,763,488 | ---- | C] (Mozilla Foundation) -- C:\Programme\nss3.dll
[2010.08.14 07:49:09 | 000,458,848 | ---- | C] (Netscape Communications Corporation) -- C:\Programme\js3250.dll
[2010.08.14 07:49:09 | 000,420,456 | ---- | C] (Mozilla Foundation) -- C:\Programme\xpcom_core.dll
[2010.08.14 07:49:09 | 000,337,512 | ---- | C] (Mozilla Foundation) -- C:\Programme\nssckbi.dll
[2010.08.14 07:49:09 | 000,254,077 | ---- | C] (Mozilla Foundation) -- C:\Programme\freebl3.dll
[2010.08.14 07:49:09 | 000,208,488 | ---- | C] (Mozilla Foundation) -- C:\Programme\sqlite3.dll
[2010.08.14 07:49:09 | 000,168,044 | ---- | C] (Mozilla Foundation) -- C:\Programme\softokn3.dll
[2010.08.14 07:49:09 | 000,165,480 | ---- | C] (Mozilla Foundation) -- C:\Programme\nspr4.dll
[2010.08.14 07:49:09 | 000,144,992 | ---- | C] (Mozilla Foundation) -- C:\Programme\ssl3.dll
[2010.08.14 07:49:09 | 000,132,224 | ---- | C] (Mozilla Foundation) -- C:\Programme\updater.exe
[2010.08.14 07:49:09 | 000,120,424 | ---- | C] (Mozilla Foundation) -- C:\Programme\nssdbm3.dll
[2010.08.14 07:49:09 | 000,112,224 | ---- | C] (Mozilla Foundation) -- C:\Programme\smime3.dll
[2010.08.14 07:49:09 | 000,087,656 | ---- | C] (Mozilla Foundation) -- C:\Programme\nssutil3.dll
[2010.08.14 07:49:09 | 000,073,840 | ---- | C] (Mozilla Foundation) -- C:\Programme\xpicleanup.exe
[2010.08.14 07:49:09 | 000,073,840 | ---- | C] (Mozilla Foundation) -- C:\Programme\xpcom_compat.dll
[2010.08.14 07:49:09 | 000,034,416 | ---- | C] (Mozilla Foundation) -- C:\Programme\plc4.dll
[2010.08.14 07:49:09 | 000,030,312 | ---- | C] (Mozilla Foundation) -- C:\Programme\plds4.dll
[2010.08.14 07:49:09 | 000,023,672 | ---- | C] (Mozilla.org) -- C:\Programme\MapiProxy.dll
[2010.08.14 07:49:09 | 000,013,944 | ---- | C] (Mozilla Foundation) -- C:\Programme\AccessibleMarshal.dll
[2010.08.14 07:49:09 | 000,013,408 | ---- | C] (Mozilla Foundation) -- C:\Programme\xpcom.dll
[2010.08.14 07:49:09 | 000,011,888 | ---- | C] (Mozilla.org) -- C:\Programme\mozMapi32.dll
[3 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
========== Files - Modified Within 1 Day ==========
 
[2010.10.05 08:58:35 | 000,000,227 | ---- | M] () -- C:\WINXP\system.ini
[2010.10.05 08:58:10 | 000,000,027 | ---- | M] () -- C:\WINXP\System32\drivers\etc\hosts
[2010.10.05 08:57:58 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2010.10.05 08:56:27 | 003,407,872 | -H-- | M] () -- C:\Dokumente und Einstellungen\The Secret\NTUSER.DAT
[2010.10.05 08:56:27 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\The Secret\ntuser.ini
[2010.10.05 08:42:27 | 001,474,832 | ---- | M] () -- C:\WINXP\System32\drivers\sfi.dat
[2010.10.05 08:20:46 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\The Secret\Desktop\OTL.exe
[2010.10.05 08:18:54 | 003,861,166 | R--- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ComboFix.exe
[2010.10.05 00:16:46 | 000,000,483 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.10.05 00:12:04 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\The Secret\Desktop\defogger.exe
[2010.10.05 00:11:53 | 000,284,915 | ---- | M] () -- C:\Dokumente und Einstellungen\The Secret\Desktop\Gmer.zip
[2010.10.04 22:55:49 | 000,388,977 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Load.exe
[2010.10.04 12:28:18 | 000,000,497 | ---- | M] () -- C:\WINXP\wiso.ini
[3 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.10.05 08:52:13 | 000,256,512 | ---- | C] () -- C:\WINXP\PEV.exe
[2010.10.05 08:52:13 | 000,098,816 | ---- | C] () -- C:\WINXP\sed.exe
[2010.10.05 08:52:13 | 000,080,412 | ---- | C] () -- C:\WINXP\grep.exe
[2010.10.05 08:52:13 | 000,077,312 | ---- | C] () -- C:\WINXP\MBR.exe
[2010.10.05 08:52:13 | 000,068,096 | ---- | C] () -- C:\WINXP\zip.exe
[2010.10.05 08:09:24 | 003,861,166 | R--- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ComboFix.exe
[2010.10.05 00:16:46 | 000,000,483 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.10.05 00:01:33 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\The Secret\Desktop\defogger.exe
[2010.10.04 23:18:42 | 000,284,915 | ---- | C] () -- C:\Dokumente und Einstellungen\The Secret\Desktop\Gmer.zip
[2010.10.04 22:54:31 | 000,388,977 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Load.exe
[2010.10.03 08:39:52 | 000,000,497 | ---- | C] () -- C:\WINXP\wiso.ini
[2010.09.30 21:27:47 | 000,008,704 | ---- | C] () -- C:\Dokumente und Einstellungen\The Secret\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.08.17 11:02:33 | 000,007,168 | ---- | C] () -- C:\WINXP\System32\drivers\StarOpen.sys
[2010.08.14 07:49:11 | 000,000,721 | ---- | C] () -- C:\Programme\updater.ini
[2010.08.14 07:49:09 | 000,145,032 | ---- | C] () -- C:\Programme\nsldap32v50.dll
[2010.08.14 07:49:09 | 000,107,903 | ---- | C] () -- C:\Programme\license.html
[2010.08.14 07:49:09 | 000,030,344 | ---- | C] () -- C:\Programme\nsldappr32v50.dll
[2010.08.14 07:49:09 | 000,006,452 | ---- | C] () -- C:\Programme\LICENSE.txt
[2010.08.14 07:49:09 | 000,000,478 | ---- | C] () -- C:\Programme\softokn3.chk
[2010.08.14 07:49:09 | 000,000,478 | ---- | C] () -- C:\Programme\freebl3.chk
[2010.08.14 07:49:09 | 000,000,261 | ---- | C] () -- C:\Programme\README.txt
[2010.08.13 23:11:59 | 000,000,506 | ---- | C] () -- C:\WINXP\ODBC.INI
[2010.08.13 22:02:51 | 000,116,224 | ---- | C] () -- C:\WINXP\System32\pdfcmnnt.dll
[2010.08.12 12:00:32 | 000,077,824 | ---- | C] () -- C:\WINXP\System32\SynTPCoI.dll
[2010.08.12 11:37:30 | 000,155,648 | ---- | C] () -- C:\WINXP\System32\RTLCPAPI.dll
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINXP\System32\OUTLPERF.INI
< End of report >

--- --- ---

Chris4You · 05.10.2010, 09:19

Hi,

falls noch nicht geschehen, die Funde von MAM bereinigen lassen!

Bitte folgende Files prüfen (sollten saube sein):

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Microsoft\Installer\{1EAE0B34-CA37-41CB-83C0-9AA54B78D552}\CICLO3.exe
c:\dokumente und einstellungen\The Secret\Anwendungsdaten\Microsoft\Installer\{1EAE0B34-CA37-41CB-83C0-9AA54B78D552}\_8CA5CAE1A261_4CAA_8D98_70B5696C2059.exe
c:\winxp\system32\sfcfiles.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Fix für OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:

ATTFilter

:OTL
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv)
SRV - File not found [Disabled | Stopped] -- C:\WINXP\System32\hidserv.dll -- (HidServ)
SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found

:Commands
[emptytemp]
[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

KSchluesi · 05.10.2010, 10:37

Hier der erste scan von ciclo3.exe - Es handelt sich um ein altes Programm um Daten von einem Pulsmesser zur Auswertung auf den PC zu übertragen:

File name:
CICLO3.exe
Submission date:
2010-10-05 09:30:11 (UTC)
Current status:
finished
Result:
0/ 43 (0.0%) VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.10.05.00 2010.10.04 -
AntiVir 7.10.12.119 2010.10.05 -
Antiy-AVL 2.0.3.7 2010.10.05 -
Authentium 5.2.0.5 2010.10.05 -
Avast 4.8.1351.0 2010.10.04 -
Avast5 5.0.594.0 2010.10.04 -
AVG 9.0.0.851 2010.10.04 -
BitDefender 7.2 2010.10.05 -
CAT-QuickHeal 11.00 2010.10.05 -
ClamAV 0.96.2.0-git 2010.10.05 -
Comodo 6285 2010.10.05 -
DrWeb 5.0.2.03300 2010.10.05 -
Emsisoft 5.0.0.50 2010.10.05 -
eSafe 7.0.17.0 2010.10.03 -
eTrust-Vet 36.1.7892 2010.10.04 -
F-Prot 4.6.2.117 2010.10.04 -
F-Secure 9.0.15370.0 2010.10.05 -
Fortinet 4.2.249.0 2010.10.05 -
GData 21 2010.10.05 -
Ikarus T3.1.1.90.0 2010.10.05 -
Jiangmin 13.0.900 2010.10.03 -
K7AntiVirus 9.63.2672 2010.10.04 -
Kaspersky 7.0.0.125 2010.10.05 -
McAfee 5.400.0.1158 2010.10.05 -
McAfee-GW-Edition 2010.1C 2010.10.05 -
Microsoft 1.6201 2010.10.05 -
NOD32 5503 2010.10.04 -
Norman 6.06.07 2010.10.04 -
nProtect 2010-10-05.01 2010.10.05 -
Panda 10.0.2.7 2010.10.04 -
PCTools 7.0.3.5 2010.10.02 -
Prevx 3.0 2010.10.05 -
Rising 22.67.02.07 2010.09.30 -
Sophos 4.58.0 2010.10.05 -
Sunbelt 6985 2010.10.05 -
SUPERAntiSpyware 4.40.0.1006 2010.10.05 -
Symantec 20101.2.0.161 2010.10.05 -
TheHacker 6.7.0.1.048 2010.10.04 -
TrendMicro 9.120.0.1004 2010.10.05 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.05 -
VBA32 3.12.14.1 2010.10.04 -
ViRobot 2010.10.4.4074 2010.10.05 -
VirusBuster 12.67.2.0 2010.10.04 -
Additional information
Show all
MD5 : 3113f726b9c9774cbed12bdf350a57ca
SHA1 : acc0675f2913b194ffb143c47512ed0c7729c93d
SHA256: 8a15929624b41fcf2c84b671c63d5d490e302132b7e308b6366cd362c16b43ae
ssdeep: 6:YlElAj1AzVomnOewq1FmtzFwe6ZteIUcdAdNiaRWxcUrJbT3gOQ:IEipAzVXPwWFizFDm5m7i
aRMDQ
File size : 766 bytes
First seen: 2010-10-05 09:30:11
Last seen : 2010-10-05 09:30:11
TrID:
Windows Icon (57.2%)
MPEG Video (42.7%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
ExifTool:
file metadata
Error: File format error
FileSize: 766 bytes

KSchluesi · 05.10.2010, 10:45

Hier der 2. Scan

File name:
_8CA5CAE1A261_4CAA_8D98_70B5696C2059.exe
Submission date:
2010-10-05 09:38:48 (UTC)
Current status:
finished
Result:
0/ 43 (0.0%) VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.10.05.00 2010.10.04 -
AntiVir 7.10.12.119 2010.10.05 -
Antiy-AVL 2.0.3.7 2010.10.05 -
Authentium 5.2.0.5 2010.10.05 -
Avast 4.8.1351.0 2010.10.04 -
Avast5 5.0.594.0 2010.10.04 -
AVG 9.0.0.851 2010.10.04 -
BitDefender 7.2 2010.10.05 -
CAT-QuickHeal 11.00 2010.10.05 -
ClamAV 0.96.2.0-git 2010.10.05 -
Comodo 6285 2010.10.05 -
DrWeb 5.0.2.03300 2010.10.05 -
Emsisoft 5.0.0.50 2010.10.05 -
eSafe 7.0.17.0 2010.10.03 -
eTrust-Vet 36.1.7892 2010.10.04 -
F-Prot 4.6.2.117 2010.10.04 -
F-Secure 9.0.15370.0 2010.10.05 -
Fortinet 4.2.249.0 2010.10.05 -
GData 21 2010.10.05 -
Ikarus T3.1.1.90.0 2010.10.05 -
Jiangmin 13.0.900 2010.10.03 -
K7AntiVirus 9.63.2672 2010.10.04 -
Kaspersky 7.0.0.125 2010.10.05 -
McAfee 5.400.0.1158 2010.10.05 -
McAfee-GW-Edition 2010.1C 2010.10.05 -
Microsoft 1.6201 2010.10.05 -
NOD32 5503 2010.10.04 -
Norman 6.06.07 2010.10.04 -
nProtect 2010-10-05.01 2010.10.05 -
Panda 10.0.2.7 2010.10.04 -
PCTools 7.0.3.5 2010.10.02 -
Prevx 3.0 2010.10.05 -
Rising 22.67.02.07 2010.09.30 -
Sophos 4.58.0 2010.10.05 -
Sunbelt 6985 2010.10.05 -
SUPERAntiSpyware 4.40.0.1006 2010.10.05 -
Symantec 20101.2.0.161 2010.10.05 -
TheHacker 6.7.0.1.048 2010.10.04 -
TrendMicro 9.120.0.1004 2010.10.05 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.05 -
VBA32 3.12.14.1 2010.10.04 -
ViRobot 2010.10.4.4074 2010.10.05 -
VirusBuster 12.67.2.0 2010.10.04 -
Additional information
Show all
MD5 : 46845c2fe4ea63f2b20a6dda8dc6848e
SHA1 : 5fd458b598c13bb3fd09121525f8036a6aa0809b
SHA256: ee45eda4fd375d11d5c2695dd575c1e859eb5bc1149dc72fbdeb98342777b4cd
ssdeep: 384:mQMvVx9fzmlTUBWEYHyyFErh6oZNhRs8KDam4KDSxQNKDl:mDX+THycqh6opRx
File size : 40960 bytes
First seen: 2010-10-05 09:38:48
Last seen : 2010-10-05 09:38:48
TrID:
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD: Armadillo v1.71
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x1010
timedatestamp....: 0x36C49DD3 (Fri Feb 12 21:32:03 1999)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x288E, 0x3000, 5.91, 5c750246800ed8cf9f2a2a31395672ec
.rdata, 0x4000, 0x736, 0x1000, 3.01, 0081f7ef1a173dc3908c7477e1f91b23
.data, 0x5000, 0x9BC, 0x1000, 0.87, 5dd0366f742b8f20fd3b8ef03763cab4
.rsrc, 0x6000, 0x4000, 0x4000, 3.90, d1c810024cc5915c0ee715a62670d090

[[ 1 import(s) ]]
KERNEL32.dll: VirtualFree, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, GetModuleHandleA, HeapFree, RtlUnwind, WriteFile, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW
ExifTool:
file metadata
CodeSize: 12288
EntryPoint: 0x1010
FileSize: 40 kB
FileType: Win32 EXE
ImageVersion: 0.0
InitializedDataSize: 24576
LinkerVersion: 6.0
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 4.0
PEType: PE32
Subsystem: Windows GUI
SubsystemVersion: 4.0
TimeStamp: 1999:02:12 22:32:03+01:00
UninitializedDataSize: 0

KSchluesi · 05.10.2010, 12:10

Die WinXP Datei, kann ich nicht zum Virustotal Server hochladen, der upload wird immer abgebrochen.

Den Fix für OTL habe ich durchgeführt, hier das Protokoll nach Neustart:

All processes killed
========== OTL ==========
Service wuauserv stopped successfully!
Service wuauserv deleted successfully!
File C:\WINDOWS\system32\wuauserv.dll not found.
Service HidServ stopped successfully!
Service HidServ deleted successfully!
File C:\WINXP\System32\hidserv.dll not found.
Service MDM stopped successfully!
Service MDM deleted successfully!
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\\{AEB6717E-7E19-11d0-97EE-00C04FD91972} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AEB6717E-7E19-11d0-97EE-00C04FD91972}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: The Secret
->Temp folder emptied: 6329 bytes
->Temporary Internet Files folder emptied: 328041 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 46188798 bytes
->Flash cache emptied: 632 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 47,00 mb

OTL by OldTimer - Version 3.2.14.1 log created on 10052010_130248

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Chris4You · 05.10.2010, 13:11

Hi,

was treibt der Rechner, noch upoload da?

Sonst prüfe mal mit TCPView wohin die ganzen Daten gehen...

TCPView
Anzeige der vom Rechner aufgebauten Internetverbindungen mit Status, Zieladresse etc.
Lege ein Verzeichnis an, entpacke die Dateien in das Verzeichnis und starte dann die
tcpview.exe. Copyright und Co abnicken.
Das Log kann unter "File", "Save as.." abgespeichert werden, in den Editor laden
abkopieren und hier posten.
Download: http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx
Anleitung: Sysinternals ? die besten Utilities (3): TCPView IT-techBlog: Home of MobileTech

chris

KSchluesi · 05.10.2010, 17:09

Hi Chris,

Cure it habe ich mittlerweile runtergeladen (hat über 2h gedauert) und werd ich jetzt anschmeißen. Vielen Dank schonmal für Deine Hilfe. Hier die logdatei von tcp view:

[System Process] 0 TCP THESECRET 1286 localhost 1561 TIME_WAIT
[System Process] 0 TCP THESECRET 1286 localhost 1569 TIME_WAIT
[System Process] 0 TCP THESECRET 1286 localhost 1557 TIME_WAIT
[System Process] 0 TCP THESECRET 1549 localhost 1286 TIME_WAIT
[System Process] 0 TCP THESECRET 1286 localhost 1525 TIME_WAIT
[System Process] 0 TCP THESECRET 1541 localhost 1286 TIME_WAIT
[System Process] 0 TCP THESECRET 1543 localhost 1286 TIME_WAIT
[System Process] 0 TCP THESECRET 1286 localhost 1555 TIME_WAIT
[System Process] 0 TCP THESECRET 1286 localhost 1559 TIME_WAIT
[System Process] 0 TCP THESECRET 1523 localhost 1286 TIME_WAIT
[System Process] 0 TCP THESECRET 1547 localhost 1286 TIME_WAIT
[System Process] 0 TCP THESECRET 1539 localhost 1286 TIME_WAIT
[System Process] 0 TCP THESECRET 1286 localhost 1571 TIME_WAIT
[System Process] 0 TCP THESECRET 1515 localhost 1286 TIME_WAIT
[System Process] 0 TCP THESECRET 1511 localhost 1286 TIME_WAIT
[System Process] 0 TCP THESECRET 1286 localhost 1551 TIME_WAIT
[System Process] 0 TCP thesecret 1544 a92-123-68-25.deploy.akamaitechnologies.com http TIME_WAIT
alg.exe 1796 TCP THESECRET 1030 THESECRET 0 LISTENING
firefox.exe 1828 TCP THESECRET 1286 localhost 1573 ESTABLISHED
firefox.exe 1828 TCP THESECRET 1282 localhost 1281 ESTABLISHED 4 4
firefox.exe 1828 TCP THESECRET 1573 localhost 1286 ESTABLISHED
firefox.exe 1828 TCP THESECRET 1281 localhost 1282 ESTABLISHED 4 4
firefox.exe 1828 TCP thesecret 1576 mu-in-f102.1e100.net http ESTABLISHED
firefox.exe 1828 TCP THESECRET 1286 localhost 1575 ESTABLISHED
firefox.exe 1828 TCP THESECRET 1285 localhost 1284 ESTABLISHED
firefox.exe 1828 TCP THESECRET 1284 localhost 1285 ESTABLISHED
firefox.exe 1828 TCP THESECRET 1575 localhost 1286 ESTABLISHED
firefox.exe 1828 TCP thesecret 1574 mu-in-f102.1e100.net http ESTABLISHED
firefox.exe 1828 TCP THESECRET 1286 THESECRET 0 LISTENING
jqs.exe 1268 TCP THESECRET 5152 localhost 1436 CLOSE_WAIT
jqs.exe 1268 TCP THESECRET 5152 THESECRET 0 LISTENING
lsass.exe 980 UDP THESECRET isakmp * *
lsass.exe 980 UDP THESECRET 4500 * *
svchost.exe 1432 TCP THESECRET epmap THESECRET 0 LISTENING
svchost.exe 1672 UDP thesecret 1900 * *
svchost.exe 1672 UDP THESECRET 1900 * *
System 4 TCP THESECRET microsoft-ds THESECRET 0 LISTENING
System 4 TCP thesecret netbios-ssn THESECRET 0 LISTENING
System 4 UDP thesecret netbios-dgm * *
System 4 UDP thesecret netbios-ns * *
System 4 UDP THESECRET microsoft-ds * *

KSchluesi · 05.10.2010, 17:34

Hab nochmal versucht die WINXP Datei hoch zu laden - wieder abgebrochen mit der Meldung:

Bad Gateway

KSchluesi · 05.10.2010, 23:44

So, hier der Log mit den infizierten Dateien von DrWeb:

ComboFix.exe\32788R22FWJFW\List-C.bat
C:\Dokumente und Einstellungen\All Users\Desktop\ComboFix.exe
Wahrscheinlich BATCH.Virus
ComboFix.exe
C:\Dokumente und Einstellungen\All Users\Desktop
Archiv enth?lt infizierte Objekte
OTL.exe
C:\Dokumente und Einstellungen\The Secret\Desktop
Trojan.Siggen2.4953
OTL.exe
C:\Dokumente und Einstellungen\The Secret\Desktop\MFTools
Trojan.Siggen2.4953
TFC.exe
C:\Dokumente und Einstellungen\The Secret\Desktop\MFTools
Trojan.DownLoader1.26252
A0008764.bat
C:\System Volume Information\_restore{8BB60A11-9DED-4CAF-B4B0-7D2DC0F04DBF}\RP38
Wahrscheinlich BATCH.Virus

Ich bin jetzt wahrscheinlich bis morgen Abend / nacht Offline.

Vielen Dank auf jeden Fall schon mal

Klaus

Chris4You · 06.10.2010, 06:29

Hi,

im TCP-Log sehe ich nichts aussergewöhnliches...
Das OTL / CF asl "Malware" erkannt werden ist üblich, die setzten auch in etwa die gleichen Mittel ein (ist wie im Krieg, der Gegner in Rüstung und Schwert wird ja auch nicht mit einer Feder zu tote gekitzelt ;o)...

Was macht der Rechner?

chris

KSchluesi · 07.10.2010, 10:15

Hi Chris,

so wie ich das im Moment sehe, läuft wieder alles normal.

Bin jetzt dabei, die Firewall etc. wieder zu installieren und die updates runter zu laden - schein zu laufen.
Vielen Dank

Klaus

Downloads im Hintergrund - Hijackthis und Malwarbytes Log

Log-Analyse und Auswertung: Downloads im Hintergrund - Hijackthis und Malwarbytes Log