TR/Dldr.Tracur.B.182

cosinus · 11.10.2010, 10:22

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

St Georg · 11.10.2010, 11:48

Hallo Arne,

vielen Dank für deine Umfangreiche Hilfe.
Ich habe Combifix wie beschrieben durchgeführt, davor auch ccleaner.
Leider sind beim Neustart Avira und ein Fernsehprogramm aufgegangen, die immer beim Neustart automatisch starten, obwohl combifix gesagt hat ich solle keine anderen Programme öffnen. Ich habe sie dann schnell geschlossen, währen Combifix die log Datei erstellt hat.

Ausserdem ist mir während des Vorgangs etwas ungünstiges eingefallen, und zwar, dass ich noch eine mobile Festplatte habe, die ich jetzt nicht mit gesäubert habe. Es könnte sein, dass ich sie während der Zeit als ich mir den Virus eingefangen habe, benutzt habe. Soll ich alle von dir vorgeschlagenen Suchläufe (OTL, CCleaner, Combifix) nochmal durchführen wenn ich die mobile Festplatte angeschlossen habe?

Viele Dank für Alles.

Georg

St Georg · 11.10.2010, 11:49

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-10-10.02 - JDL 11.10.2010  12:25:25.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.607 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\JDL\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\JDL\Anwendungsdaten\02000000097ad8b41007C.manifest
c:\dokumente und einstellungen\JDL\Anwendungsdaten\02000000097ad8b41007O.manifest
c:\dokumente und einstellungen\JDL\Anwendungsdaten\02000000097ad8b41007P.manifest
c:\dokumente und einstellungen\JDL\Anwendungsdaten\02000000097ad8b41007S.manifest
C:\test.txt
c:\windows\abixewo.scr
c:\windows\guwa._sy
c:\windows\system32\2060263284
c:\windows\system32\spool\prtprocs\w32x86\CNMPD7L.DLL
c:\windows\system32\spool\prtprocs\w32x86\CNMPP7L.DLL
c:\windows\system32\unrar.exe

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV


(((((((((((((((((((((((   Dateien erstellt von 2010-09-11 bis 2010-10-11  ))))))))))))))))))))))))))))))
.

2010-10-10 20:15 . 2010-10-10 20:15	--------	dc----w-	C:\_OTL
2010-10-07 20:29 . 2010-10-07 20:29	--------	dc----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-10-07 20:28 . 2006-06-19 11:01	69632	-c--a-w-	c:\windows\system32\ztvcabinet.dll
2010-10-07 20:28 . 2006-05-25 13:52	162304	-c--a-w-	c:\windows\system32\ztvunrar36.dll
2010-10-07 20:28 . 2005-08-25 23:50	77312	-c--a-w-	c:\windows\system32\ztvunace26.dll
2010-10-07 20:28 . 2003-02-02 18:06	153088	-c--a-w-	c:\windows\system32\UNRAR3.dll
2010-10-07 20:28 . 2002-03-05 23:00	75264	-c--a-w-	c:\windows\system32\unacev2.dll
2010-10-07 20:28 . 2010-10-07 20:28	--------	dc----w-	c:\programme\Trojan Remover
2010-10-07 20:28 . 2010-10-07 20:28	--------	dc----w-	c:\dokumente und einstellungen\JDL\Anwendungsdaten\Simply Super Software
2010-10-07 20:28 . 2010-10-07 20:28	--------	dc----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
2010-10-03 08:39 . 2010-09-06 09:26	189520	-c--a-w-	c:\windows\system32\drivers\tmcomm.sys
2010-09-30 08:32 . 2010-10-03 16:58	--------	dc----w-	c:\programme\Enigma Software Group
2010-09-30 08:30 . 2010-09-30 08:30	--------	dc----w-	c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-09-22 16:45 . 2010-09-22 16:45	--------	dc----w-	c:\dokumente und einstellungen\JDL\Lokale Einstellungen\Anwendungsdaten\TransMac
2010-09-22 16:45 . 2010-09-22 16:45	--------	dc----w-	c:\programme\TransMac
2010-09-21 15:55 . 2010-09-21 15:55	--------	dc----w-	c:\programme\Sun
2010-09-21 15:55 . 2010-09-21 15:54	73728	-c--a-w-	c:\windows\system32\javacpl.cpl
2010-09-21 15:55 . 2010-09-21 15:54	423656	-c--a-w-	c:\windows\system32\deployJava1.dll
2010-09-21 15:55 . 2010-09-21 15:54	423656	-c--a-w-	c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
2010-09-21 08:29 . 2010-09-21 08:29	0	-c-ha-w-	c:\dokumente und einstellungen\JDL\cibkbglbef.tmp
2010-09-19 12:48 . 2010-09-19 13:02	--------	dc----w-	c:\dokumente und einstellungen\JDL\Anwendungsdaten\U3

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	-c--a-w-	c:\dokumente und einstellungen\JDL\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	-c--a-w-	c:\dokumente und einstellungen\JDL\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2009-12-09 01:19	94208	-c--a-w-	c:\dokumente und einstellungen\JDL\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2006-02-14 110592]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-02-14 512000]
"EZEJMNAP"="c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2006-02-23 237568]
"TPKMAPHELPER"="c:\programme\ThinkPad\Utilities\TpKmapAp.exe" [2006-06-02 856064]
"TpShocks"="TpShocks.exe" [2006-03-15 106496]
"EPGServiceTool"="c:\progra~1\WinTV\EPG Services\System\EPGClient.exe" [2008-05-15 688128]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-09-29 61440]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-02-15 141608]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2010-02-17 177472]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"TrojanScanner"="c:\programme\Trojan Remover\Trjscan.exe" [2010-07-05 1167296]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
AutoStart IR.lnk - c:\programme\WinTV\Ir.exe [2008-10-3 110647]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BLOG]
2006-05-25 16:13	208896	-c--a-w-	c:\progra~1\ThinkPad\UTILIT~1\BATLOGEX.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRMGRTR]
2006-05-25 16:13	151552	----a-w-	c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Last.fm\\LastFM.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\kav\\kav7.0\\english\\setup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\PPStream\\update\\ppstreamsetup-update090811.exe"=
"c:\\Programme\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\fried78\\counter-strike source\\hl2.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:UDP"= 5353:UDP:*:Disabled:Bonjour
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.08.2009 13:13 108289]
R2 EPGService;EPGService;c:\progra~1\WinTV\EPG Services\System\EPGService.exe [03.10.2008 13:48 437248]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [08.12.2009 20:09 135664]
S3 esgiguard;esgiguard;\??\c:\programme\Enigma Software Group\SpyHunter\esgiguard.sys --> c:\programme\Enigma Software Group\SpyHunter\esgiguard.sys [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [26.11.2007 12:28 1527900]
S3 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\HCWTVS~1.EXE [03.10.2008 13:47 823296]
S3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\drivers\hcw95bda.sys [03.10.2008 12:26 560640]
S3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\drivers\hcw95rc.sys [03.10.2008 12:26 15616]
S3 ovt530;Webcam Classic;c:\windows\system32\Drivers\ov530vid.sys --> c:\windows\system32\Drivers\ov530vid.sys [?]
S3 UPnPService;UPnPService;c:\programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [26.11.2007 12:28 544768]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.11.2009 13:55 691696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
vvdsvc	REG_MULTI_SZ   	vvdsvc
.
Inhalt des "geplante Tasks" Ordners

2010-10-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 10:34]

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-08 18:08]

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-08 18:08]

2010-10-03 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2007-09-18 16:13]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com/
mStart Page = about:blank
uSearchURL,(Default) = hxxp://go.web.de/suchbox/webdesuche?su=%s
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
.
.
------- Dateityp-Verknüpfung -------
.
.txt=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-brastk - c:\windows\system32\brastk.exe
SafeBoot-TDSSrvdc.sys


.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-2341941929-758128360-641812953-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{50FC78EC-6400-0D3F-EA9C-2737BB367E0A}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"oapbpnchicbhfjpmjclbjpckppdoci"=hex:6a,61,6c,6f,6d,67,64,67,68,62,66,63,67,6f,
   6c,6d,70,62,69,61,00,54
"nafcfdmmepoocpnhnckcbjpfnnod"=hex:6a,61,6c,6f,6d,67,64,67,68,62,66,63,67,6f,
   6c,6d,70,62,69,61,00,54

[HKEY_USERS\S-1-5-21-2341941929-758128360-641812953-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:d4,be,28,9f,af,4a,fd,82,b8,d0,41,c8,be,db,c4,8e,9d,5f,4e,36,78,01,59,
   f9,a0,3d,59,9c,3f,e9,65,a7,89,4c,12,4f,5f,75,0d,db,f6,d9,51,4b,86,c5,a4,39,\
"??"=hex:cf,a2,36,81,f9,34,8e,94,b4,69,fc,5f,51,dd,ff,7b
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(908)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(220)
c:\dokumente und einstellungen\JDL\Anwendungsdaten\Dropbox\bin\DropboxExt.13.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\TpShocks.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\System32\TPHDEXLG.EXE
c:\windows\system32\TpKmpSVC.exe
c:\windows\system32\wscntfy.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-10-11  12:41:15 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-10-11 10:41

Vor Suchlauf: 5.886.349.312 Bytes frei
Nach Suchlauf: 5.799.415.808 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 60F207DE79B28CCE5F10C4A2DA6DB1BA

--- --- ---

TR/Dldr.Tracur.B.182

Plagegeister aller Art und deren Bekämpfung: TR/Dldr.Tracur.B.182