| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Viren eingefangen, bitte um Hilfe.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
14.12.2010, 00:09
| #1 | |
 |  Viren eingefangen, bitte um Hilfe. Ich habe folgendes problem: Ich habe mir irgentwann einen Virus (schätze ich jetzt mal) eingefangen und werde ihn nichtmehr los. Beim Rechnerstart öffnen sich ca 4-5 kleine schwarze cmd Fenster die auch nach 2 Sekunden wieder weggehen dazu bekomme ich beim Start immer irgentwelche svchost.exe fehler. Zudem komme ich nichtmehr auf seiten wie kaspersky, norton, avast oder andere Antiviren Websites. Was mir besonders auffällt ist das von hier auf da Regelmäßig meine Webcam angeht (merke ich an dem lämpchen an der cam) und jetzt gerade vor 1 Minute kahm das: Habe dann vor dem Post diese Anleitung befolgt da sie in den Goldenen Regeln Stand: http://www.trojaner-board.de/89918-l...e-larusso.html hab es bis Schritt 4 befolgt. Als das mit gmer.exe kahm hat er im scan Ein problem festgestellt und muste beendet werden. darauf hin sofort Bluescreen. da ich verunsichert war habe ich mit der anleitung nicht weitergemacht Malwarebites Log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Datenbank Version: 5309
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005
13.12.2010 23:40:27
mbam-log-2010-12-13 (23-40-27).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 140126
Laufzeit: 3 Minute(n), 4 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{CQ30XW87-638E-SQ0K-SRE5-N4I27042LR7X} (Backdoor.SpyNet) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CQ30XW87-638E-SQ0K-SRE5-N4I27042LR7X} (Backdoor.SpyNet) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{CQ30XW87-638E-SQ0K-SRE5-N4I27042LR7X} (Backdoor.SpyNet) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{3KO58O2X-OIAO-0208-JLII-V238LUM28LIR} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3KO58O2X-OIAO-0208-JLII-V238LUM28LIR} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{51SW6ENN-P584-25G0-1DX4-38T8MSFT6UGO} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{51SW6ENN-P584-25G0-1DX4-38T8MSFT6UGO} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\820598175_225.exe (Heuristics.Shuriken) -> Value: 820598175_225.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\903400042_225.exe (Heuristics.Shuriken) -> Value: 903400042_225.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Trojan.Agent) -> Value: Policies -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nvdisp (Trojan.Agent) -> Value: nvdisp -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Trojan.Agent) -> Value: Policies -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\atidisp (Trojan.Agent) -> Value: atidisp -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.Agent) -> Value: services -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
d:\Users\andreas l\AppData\Local\Temp\820598175_225.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.
d:\Users\andreas l\AppData\Local\Temp\903400042_225.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.
d:\Windows\System32\0A997.tmp (Worm.Conficker) -> Quarantined and deleted successfully.
d:\Users\andreas l\AppData\Local\Temp\63484.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.
d:\Users\andreas l\AppData\Local\Temp\25836.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.
d:\Users\andreas l\AppData\Roaming\data.dat (Stolen.Data) -> Quarantined and deleted successfully.
d:\Users\andreas l\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
d:\Users\andreas l\AppData\Local\Temp\Original.exe (Trojan.Agent) -> Quarantined and deleted successfully.
d:\Users\andreas l\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot.
d:\Users\andreas l\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.
d:\Windows\install\server.exe (Backdoor.SpyNet) -> Quarantined and deleted successfully.
d:\Windows\System32\System\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
d:\INSTALL\services.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Zitat:
Danke schonmal im Voraus Laudi01 |
|
14.12.2010, 12:55
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Viren eingefangen, bitte um Hilfe. Hallo und
__________________ Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
|
14.12.2010, 13:21
| #3 |
| | Viren eingefangen, bitte um Hilfe. danke für die antwort scanne grade mit malwarbytes kann etwas dauern.
__________________ich habe auf viele seiten wie avira, kaspersky, microsoft und einige andere seiten keinen zugriff. firefox sagt immer server nicht gefunden. vermutlich conficker B oder C? |
|
14.12.2010, 15:20
| #4 |
| | Viren eingefangen, bitte um Hilfe. sehe da nix mit output bei otl.. sry meine englischkenntnisse sind nicht sehr hoch. könntest du mir das genauer erklären? //edit habs gefunden xD muss mal döppen aufmachen. so scanne nun poste gleich die logs rein |
|
14.12.2010, 15:49
| #5 |
| | Viren eingefangen, bitte um Hilfe. So hier die 3 logs tut sich der conficker auch über das wlan netzwerk auf alle anderen rechner die angeschlossen sind übertragen? |
|
14.12.2010, 18:59
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Viren eingefangen, bitte um Hilfe. Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
SRV - (ghpyg) -- File not found
O4 - HKLM..\Run: [javasvr.exe] D:\Users\Andreas L\AppData\Roaming\javasvr.exe (Microsoft Corporation)
O4 - HKCU..\Run: [225.exe] D:\Users\Andreas L\AppData\Local\Temp\225.exe File not found
O4 - HKCU..\Run: [CCleaner.exe] D:\Users\Andreas L\AppData\Roaming\gVBwwvzlryQqpGvyqPsXVD\gVBwwvzlryQqpGvyqPsXVD\0.0.0.0\CCleaner.exe ()
O4 - HKCU..\Run: [javasvr.exe] D:\Users\Andreas L\AppData\Roaming\javasvr.exe (Microsoft Corporation)
O4 - HKCU..\Run: [KPeerNexonEU] D:\Nexon\NEXON_EU_Downloader\nxEULauncher.exe (NEXON Inc.)
O4 - HKCU..\Run: [WindowsWelcomeCenter] D:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKCU..\Run: [WMPNSCFG] D:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
O4 - HKCU..\Run: [younex.exe] D:\Users\Andreas L\AppData\Local\Temp\younex.exe (TQnJhnj)
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - D:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{c5ad3646-9f2c-11df-9be3-0024212ad79b}\Shell - "" = AutoRun
O33 - MountPoints2\{c5ad3646-9f2c-11df-9be3-0024212ad79b}\Shell\AutoRun\command - "" = N:\pushinst.exe -- File not found
O33 - MountPoints2\{fd47b4f5-aef4-11df-8e8d-001f3f03fa59}\Shell - "" = AutoRun
O33 - MountPoints2\{fd47b4f5-aef4-11df-8e8d-001f3f03fa59}\Shell\AutoRun\command - "" = N:\setup\rsrc\Autorun.exe -- File not found
O33 - MountPoints2\{fd47b4f5-aef4-11df-8e8d-001f3f03fa59}\Shell\dinstall\command - "" = N:\Directx\dxsetup.exe -- File not found
O33 - MountPoints2\K\Shell - "" = AutoRun
O33 - MountPoints2\K\Shell\AutoRun\command - "" = K:\pushinst.exe -- File not found
[2010.12.11 03:29:47 | 000,000,000 | ---D | C] -- D:\Users\Andreas L\AppData\Roaming\gVBwwvzlryQqpGvyqPsXVD
[2010.12.10 18:04:43 | 000,000,000 | ---D | C] -- D:\Users\Andreas L\AppData\Roaming\lorjIXQzikFhmzwfsSStCP
[2010.12.10 08:52:11 | 000,729,088 | ---- | C] (Indigo Rose Corporation) -- D:\Windows\iun6002.exe
[2010.09.03 21:42:20 | 000,155,633 | RHS- | C] () -- D:\Windows\System32\kctoqj.dll
@Alternate Data Stream - 133 bytes -> D:\ProgramData\TEMP:05EE1EEF
:Files
D:\Users\Andreas L\AppData\Roaming\gVBwwvzlryQqpGvyqPsXVD
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ --> Viren eingefangen, bitte um Hilfe. |
|
14.12.2010, 19:44
| #7 |
| | Viren eingefangen, bitte um Hilfe. woow du hast es echt drauf danke. kann de seiten wieder aufrufen. ansonsten keine symptome mehr bist nen echter lebensretter Code:
ATTFilter All processes killed
========== OTL ==========
Service ghpyg stopped successfully!
Service ghpyg deleted successfully!
File File not found not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\javasvr.exe deleted successfully.
D:\Users\Andreas L\AppData\Roaming\javasvr.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\225.exe deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\CCleaner.exe deleted successfully.
D:\Users\Andreas L\AppData\Roaming\gVBwwvzlryQqpGvyqPsXVD\gVBwwvzlryQqpGvyqPsXVD\0.0.0.0\CCleaner.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\javasvr.exe deleted successfully.
File D:\Users\Andreas L\AppData\Roaming\javasvr.exe not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\KPeerNexonEU deleted successfully.
D:\Nexon\NEXON_EU_Downloader\nxEULauncher.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\WindowsWelcomeCenter deleted successfully.
File move failed. D:\Windows\System32\oobefldr.dll scheduled to be moved on reboot.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\WMPNSCFG deleted successfully.
File move failed. D:\Programme\Windows Media Player\wmpnscfg.exe scheduled to be moved on reboot.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\younex.exe deleted successfully.
D:\Users\Andreas L\AppData\Local\Temp\younex.exe moved successfully.
C:\autoexec.bat moved successfully.
D:\autoexec.bat moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c5ad3646-9f2c-11df-9be3-0024212ad79b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c5ad3646-9f2c-11df-9be3-0024212ad79b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c5ad3646-9f2c-11df-9be3-0024212ad79b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c5ad3646-9f2c-11df-9be3-0024212ad79b}\ not found.
File N:\pushinst.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd47b4f5-aef4-11df-8e8d-001f3f03fa59}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fd47b4f5-aef4-11df-8e8d-001f3f03fa59}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd47b4f5-aef4-11df-8e8d-001f3f03fa59}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fd47b4f5-aef4-11df-8e8d-001f3f03fa59}\ not found.
File N:\setup\rsrc\Autorun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd47b4f5-aef4-11df-8e8d-001f3f03fa59}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fd47b4f5-aef4-11df-8e8d-001f3f03fa59}\ not found.
File N:\Directx\dxsetup.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\K\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\K\ not found.
File K:\pushinst.exe not found.
D:\Users\Andreas L\AppData\Roaming\gVBwwvzlryQqpGvyqPsXVD\gVBwwvzlryQqpGvyqPsXVD\0.0.0.0 folder moved successfully.
D:\Users\Andreas L\AppData\Roaming\gVBwwvzlryQqpGvyqPsXVD\gVBwwvzlryQqpGvyqPsXVD folder moved successfully.
D:\Users\Andreas L\AppData\Roaming\gVBwwvzlryQqpGvyqPsXVD folder moved successfully.
D:\Users\Andreas L\AppData\Roaming\lorjIXQzikFhmzwfsSStCP\lorjIXQzikFhmzwfsSStCP\0.0.0.0 folder moved successfully.
D:\Users\Andreas L\AppData\Roaming\lorjIXQzikFhmzwfsSStCP\lorjIXQzikFhmzwfsSStCP folder moved successfully.
D:\Users\Andreas L\AppData\Roaming\lorjIXQzikFhmzwfsSStCP folder moved successfully.
D:\Windows\iun6002.exe moved successfully.
File move failed. D:\Windows\System32\kctoqj.dll scheduled to be moved on reboot.
ADS D:\ProgramData\TEMP:05EE1EEF deleted successfully.
========== FILES ==========
File\Folder D:\Users\Andreas L\AppData\Roaming\gVBwwvzlryQqpGvyqPsXVD not found.
========== COMMANDS ==========
D:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
[EMPTYTEMP]
User: All Users
User: Andreas L
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 3124352 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 76852029 bytes
->Flash cache emptied: 1066 bytes
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 4096 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 824 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 76,00 mb
OTL by OldTimer - Version 3.2.17.3 log created on 12142010_193632
Files\Folders moved on Reboot...
File move failed. D:\Windows\System32\oobefldr.dll scheduled to be moved on reboot.
File move failed. D:\Programme\Windows Media Player\wmpnscfg.exe scheduled to be moved on reboot.
File move failed. D:\Windows\System32\kctoqj.dll scheduled to be moved on reboot.
File move failed. D:\Windows\System32\096E1.tmp scheduled to be moved on reboot.
Registry entries deleted on Reboot...
sry für die vielen fragen aber danke im vorraus  |
|
15.12.2010, 11:07
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Viren eingefangen, bitte um Hilfe. Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
15.12.2010, 17:41
| #9 | |
| | Viren eingefangen, bitte um Hilfe.Code:
ATTFilter ComboFix 10-12-14.07 - Andreas L 15.12.2010 17:24:06.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3070.1692 [GMT 1:00]
ausgeführt von:: d:\users\Andreas L\Desktop\cofi.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
d:\windows\Install
d:\windows\system32\config.dat
.
((((((((((((((((((((((( Dateien erstellt von 2010-11-15 bis 2010-12-15 ))))))))))))))))))))))))))))))
.
2010-12-15 16:30 . 2010-12-15 16:30 -------- d-----w- d:\users\Andreas L\AppData\Local\temp
2010-12-15 16:30 . 2010-12-15 16:30 -------- d-----w- d:\users\Default\AppData\Local\temp
2010-12-14 20:08 . 2010-08-26 04:23 13312 ----a-w- d:\program files\Internet Explorer\iecompat.dll
2010-12-14 20:04 . 2010-08-26 16:34 1696256 ----a-w- d:\windows\system32\gameux.dll
2010-12-14 20:04 . 2010-08-26 16:33 28672 ----a-w- d:\windows\system32\Apphlpdm.dll
2010-12-14 20:04 . 2010-08-26 14:23 4240384 ----a-w- d:\windows\system32\GameUXLegacyGDFs.dll
2010-12-14 18:36 . 2010-12-14 18:36 -------- d-----w- D:\_OTL
2010-12-14 14:08 . 2010-12-14 14:08 4096 ----a-w- d:\windows\system32\096E1.tmp
2010-12-13 22:32 . 2010-12-13 22:33 -------- d-----w- d:\program files\ERUNT
2010-12-13 22:25 . 2010-12-13 22:25 -------- d-----w- d:\users\Andreas L\AppData\Roaming\Malwarebytes
2010-12-13 22:25 . 2010-12-13 22:25 -------- d-----w- d:\programdata\Malwarebytes
2010-12-13 22:25 . 2010-11-29 16:42 38224 ----a-w- d:\windows\system32\drivers\mbamswissarmy.sys
2010-12-13 22:25 . 2010-12-13 22:25 -------- d-----w- d:\program files\Malwarebytes' Anti-Malware
2010-12-13 22:25 . 2010-11-29 16:42 20952 ----a-w- d:\windows\system32\drivers\mbam.sys
2010-12-13 21:15 . 2010-12-13 22:42 -------- d-----w- d:\windows\system32\System
2010-12-10 17:11 . 2010-12-10 17:12 158382 ---h--w- d:\users\Andreas L\AppData\Roaming\Andreas L1.dll
2010-12-09 09:46 . 1998-06-17 17:07 57344 ----a-w- d:\windows\system32\Mfc42loc.dll
2010-12-09 09:43 . 2010-12-09 09:44 -------- d-----w- d:\program files\EA GAMES
2010-12-09 01:08 . 2010-12-09 01:08 -------- d-----w- d:\program files\LogMeIn Hamachi
2010-12-08 23:35 . 2010-12-15 16:30 -------- d-----w- d:\users\Andreas L\AppData\Local\LogMeIn Hamachi
2010-12-08 23:32 . 2009-03-18 15:35 26176 ---ha-w- d:\windows\system32\hamachi.sys
2010-12-08 22:16 . 2010-12-08 22:16 -------- d-----w- d:\program files\Alcohol Soft
2010-12-03 06:26 . 2010-12-03 06:26 -------- d-----w- d:\users\Andreas L\AppData\Local\Activision
2010-12-01 22:48 . 2010-12-01 22:48 -------- d-----w- d:\program files\ConduitEngine
2010-11-28 14:10 . 2010-11-28 14:10 -------- d-----w- d:\users\Andreas L\AppData\Roaming\Flatcast
2010-11-28 14:10 . 2010-11-28 14:10 695578 ----a-w- d:\windows\unins000.exe
2010-11-28 04:31 . 2010-11-28 04:31 -------- d-----w- d:\program files\Rockstar Games
2010-11-27 22:53 . 2010-12-13 22:42 -------- d-----w- D:\INSTALL
2010-11-26 08:37 . 2010-11-26 08:37 -------- d-----w- d:\programdata\Nexon
2010-11-26 01:24 . 2010-12-05 00:11 -------- d-----w- D:\Nexon
2010-11-26 01:24 . 2010-12-05 00:11 235 ----a-w- d:\windows\system32\nxEuUninstall.bat
2010-11-26 01:24 . 2010-12-05 00:11 446464 ----a-w- d:\windows\NEXON_EU_DownloaderUpdater.exe
2010-11-23 08:51 . 2010-11-10 04:33 6273872 ----a-w- d:\programdata\Microsoft\Windows Defender\Definition Updates\{C63BC180-2C48-40EC-A43C-21B37B479C48}\mpengine.dll
2010-11-20 02:52 . 2010-11-20 02:52 -------- d-----w- d:\users\Andreas L\AppData\Local\Yahoo!
2010-11-19 09:30 . 2010-11-19 09:30 -------- d-----w- d:\program files\SD EnterNET
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-12 01:52 . 2010-08-05 20:09 43520 ----a-w- d:\windows\system32\CmdLineExt03.dll
2010-12-10 09:17 . 2010-08-07 00:40 139128 ----a-w- d:\windows\system32\drivers\PnkBstrK.sys
2010-12-10 09:17 . 2010-08-07 20:20 215128 ----a-w- d:\windows\system32\PnkBstrB.xtr
2010-12-10 09:17 . 2010-08-07 00:40 215128 ----a-w- d:\windows\system32\PnkBstrB.exe
2010-12-09 14:40 . 2010-08-07 00:40 75136 ----a-w- d:\windows\system32\PnkBstrA.exe
2010-12-09 14:40 . 2010-08-07 00:40 270904 ----a-w- d:\windows\system32\PnkBstrB.ex0
2010-11-25 07:43 . 2010-08-07 00:40 138056 ----a-w- d:\users\Andreas L\AppData\Roaming\PnkBstrK.sys
2010-11-10 22:19 . 2010-11-10 22:19 472808 ----a-w- d:\windows\system32\deployJava1.dll
2010-10-24 10:06 . 2010-10-24 10:06 281760 ----a-w- d:\windows\system32\drivers\atksgt.sys
2010-10-24 10:06 . 2010-10-24 10:06 25888 ----a-w- d:\windows\system32\drivers\lirsgt.sys
2010-10-19 09:41 . 2010-08-04 15:27 222080 ------w- d:\windows\system32\MpSigStub.exe
2010-10-13 20:30 . 2010-10-13 20:30 107888 ----a-w- d:\windows\system32\CmdLineExt.dll
2010-09-27 07:07 . 2010-09-27 07:07 113216 ----a-w- d:\programdata\Microsoft\VCExpress\9.0\1031\ResourceCache.dll
2010-09-27 07:07 . 2010-09-27 07:07 416 ----a-w- d:\programdata\Microsoft\MSDN\9.0\1031\ResourceCache.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "d:\program files\softonic-de3\tbsof2.dll" [2010-10-18 3908192]
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-10-18 10:26 3908192 ----a-w- d:\program files\ConduitEngine\ConduitEngine.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
2010-10-18 10:26 3908192 ----a-w- d:\program files\softonic-de3\tbsof2.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "d:\program files\softonic-de3\tbsof2.dll" [2010-10-18 3908192]
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}"= "d:\program files\softonic-de3\tbsof2.dll" [2010-10-18 3908192]
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="d:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]
"msnmsgr"="d:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="d:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"RtHDVCpl"="d:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2008-12-26 6707744]
"AVMWlanClient"="d:\program files\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
"Monitor"="d:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-07-12 74752]
"QuickTime Task"="d:\program files\QuickTime\QTTask.exe" [2010-08-10 421888]
"VirtualCloneDrive"="d:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-06-17 85160]
"trustGTX14"="d:\program files\Trust\GXT14 Mouse\POINTERGHOST.exe" [2009-06-05 4833792]
"ArcSoft Connection Service"="d:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-10-11 31232]
"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="d:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"SunJavaUpdateSched"="d:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"LogMeIn Hamachi Ui"="d:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-12-06 1910152]
d:\users\Andreas L\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
IMVU.lnk - d:\users\Andreas L\AppData\Roaming\IMVUClient\IMVUQualityAgent.exe [2010-12-1 21760]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
[HKLM\~\startupfolder\D:^Users^Andreas L^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^IMVU.lnk]
path=d:\users\Andreas L\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMVU.lnk
backup=d:\windows\pss\IMVU.lnk.Startup
backupExtension=.Startup
[HKLM\~\startupfolder\D:^Users^Andreas L^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk]
path=d:\users\Andreas L\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk
backup=d:\windows\pss\OpenOffice.org 3.2.lnk.Startup
backupExtension=.Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]
2010-12-06 07:31 1910152 ----a-w- d:\program files\LogMeIn Hamachi\hamachi-2-ui.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-11-11 01:07 1242448 ----a-w- d:\program files\Steam\Steam.exe
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;d:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 avmeject;AVM Eject;d:\windows\system32\drivers\avmeject.sys [2007-01-25 4352]
R3 CoachVid;CoachVid;d:\windows\system32\DRIVERS\CoachVid.sys [2007-04-20 45344]
R3 KMWDFilterV1;KMWDFilterV1;d:\windows\System32\Drivers\RPGMOUSEV1.sys [2009-06-10 18432]
R3 npggsvc;nProtect GameGuard Service;d:\windows\system32\GameMon.des [2010-09-06 3648584]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;d:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R4 sptd;sptd;d:\windows\System32\Drivers\sptd.sys [2010-08-10 691696]
S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;d:\program files\LogMeIn Hamachi\hamachi-2.exe [2010-12-06 1238408]
S2 TeamViewer5;TeamViewer 5;d:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-07-06 173352]
S3 FWLANUSB;AVM FRITZ!WLAN;d:\windows\system32\DRIVERS\fwlanusb.sys [2007-01-25 265088]
S3 PAC207;Trust WB-1400T Webcam;d:\windows\system32\DRIVERS\PFC027.SYS [2006-11-20 506112]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ghpyg
[HKEY_CURRENT_USER\software\microsoft\active setup\installed components\{AD57F3D9-974E-EDD9-D5AE-74BA752AB2BA}]
d:\users\ANDREA~1\AppData\Local\Temp\taxi_tool.exe [BU]
[HKEY_CURRENT_USER\software\microsoft\active setup\installed components\{BCDACEDA-CAD5-3B51-DB84-64BA7783E1A0}]
d:\users\Andreas L\AppData\Roaming\javasvr.exe [BU]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = fritz.box;192.168.178.1
IE: {{d9288080-1baa-4bc4-9cf8-a92d743db949} - d:\users\Andreas L\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU\Run IMVU.lnk
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Explorer_Run-javasvr.exe - d:\users\Andreas L\AppData\Roaming\javasvr.exe
MSConfigStartUp-BitTorrent - d:\program files\BitTorrent\BitTorrent.exe
ActiveSetup-{AD57F3D9-974E-EDD9-D5AE-74BA752AB2BA} - d:\users\ANDREA~1\AppData\Local\Temp\taxi_tool.exe
ActiveSetup-{BCDACEDA-CAD5-3B51-DB84-64BA7783E1A0} - d:\users\Andreas L\AppData\Roaming\javasvr.exe
AddRemove-DesertCombat - d:\windows\iun6002.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-15 17:30
Windows 6.0.6002 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc]
"ImagePath"="d:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1744265244-841379661-1100195608-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:a1,c5,c2,d6,a2,f6,01,66,df,16,32,48,d5,a4,91,b1,1d,5c,78,61,e4,84,63,
12,e2,6c,26,07,41,a9,65,2e,1d,91,c4,7f,7f,27,fc,a2,93,9d,ef,84,b0,be,3a,86,\
"??"=hex:cf,04,6d,49,dd,57,37,e3,6a,e6,2e,52,5d,86,22,38
[HKEY_USERS\S-1-5-21-1744265244-841379661-1100195608-1000\Software\SecuROM\License information*]
"datasecu"=hex:c5,fd,eb,f7,b2,79,20,59,f4,c3,12,25,21,57,84,b6,0e,9c,50,57,53,
76,39,fd,c9,1f,b5,7a,94,fc,1b,4b,61,83,eb,79,06,fb,35,40,50,0c,13,81,45,61,\
"rkeysecu"=hex:1a,37,50,eb,da,7b,3d,34,06,1d,23,61,20,2d,1f,2d
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@d:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="d:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2010-12-15 17:33:26
ComboFix-quarantined-files.txt 2010-12-15 16:33
Vor Suchlauf: 14 Verzeichnis(se), 128.056.766.464 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 128.442.806.272 Bytes frei
- - End Of File - - 1C4414E36CAD4224D25AAF9CD579A14B
Zitat:
|
|
16.12.2010, 11:10
| #10 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Viren eingefangen, bitte um Hilfe.Zitat:
Halte Dich am besten grob an diese fünf Regeln: 1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!! 2) Halte Windows und alle verwendeten Programme immer aktuell 3) Führe regelmäßig Backups auf externe Medien durch 4) Arbeite mit eingeschränkten Rechten 5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar? Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter File::
d:\windows\system32\096E1.tmp
Netsvc::
ghpyg
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
16.12.2010, 12:29
| #11 |
| | Viren eingefangen, bitte um Hilfe. Combofix Logfile: Code:
ATTFilter ComboFix 10-12-15.06 - Andreas L 16.12.2010 12:15:05.2.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3070.1690 [GMT 1:00]
ausgeführt von:: d:\users\Andreas L\Desktop\cofi.exe
Benutzte Befehlsschalter :: d:\users\Andreas L\Desktop\CFScript.txt
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FILE ::
"d:\windows\system32\096E1.tmp"
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
d:\windows\system32\096E1.tmp
.
((((((((((((((((((((((( Dateien erstellt von 2010-11-16 bis 2010-12-16 ))))))))))))))))))))))))))))))
.
2010-12-16 11:21 . 2010-12-16 11:21 -------- d-----w- d:\users\Andreas L\AppData\Local\temp
2010-12-16 11:21 . 2010-12-16 11:21 -------- d-----w- d:\users\Default\AppData\Local\temp
2010-12-16 05:31 . 2010-12-16 05:31 -------- d-----w- d:\users\Andreas L\AppData\Roaming\W
2010-12-16 05:28 . 2010-12-16 05:28 -------- d-----w- d:\users\Andreas L\AppData\Roaming\wargaming.net
2010-12-16 05:22 . 2009-03-16 13:18 22360 ----a-w- d:\windows\system32\X3DAudio1_6.dll
2010-12-16 05:21 . 2010-12-16 05:21 -------- d--h--w- d:\windows\PIF
2010-12-16 01:20 . 2010-10-28 13:20 2048 ----a-w- d:\windows\system32\tzres.dll
2010-12-16 01:20 . 2010-11-03 10:51 2409784 ----a-w- d:\program files\Windows Mail\OESpamFilter.dat
2010-12-15 16:21 . 2010-12-15 16:33 -------- d-----w- D:\cofi
2010-12-14 20:04 . 2010-08-26 16:34 1696256 ----a-w- d:\windows\system32\gameux.dll
2010-12-14 20:04 . 2010-08-26 16:33 28672 ----a-w- d:\windows\system32\Apphlpdm.dll
2010-12-14 20:04 . 2010-08-26 14:23 4240384 ----a-w- d:\windows\system32\GameUXLegacyGDFs.dll
2010-12-14 20:03 . 2010-01-25 12:00 471552 ----a-w- d:\windows\system32\secproc_isv.dll
2010-12-14 20:03 . 2010-01-25 12:00 471552 ----a-w- d:\windows\system32\secproc.dll
2010-12-14 20:03 . 2010-01-25 08:21 526336 ----a-w- d:\windows\system32\RMActivate_isv.exe
2010-12-14 20:03 . 2010-01-25 08:21 346624 ----a-w- d:\windows\system32\RMActivate_ssp_isv.exe
2010-12-14 20:03 . 2010-01-25 12:00 152576 ----a-w- d:\windows\system32\secproc_ssp_isv.dll
2010-12-14 20:03 . 2010-01-25 12:00 152064 ----a-w- d:\windows\system32\secproc_ssp.dll
2010-12-14 20:03 . 2010-01-25 11:58 332288 ----a-w- d:\windows\system32\msdrm.dll
2010-12-14 20:03 . 2010-01-25 08:21 518144 ----a-w- d:\windows\system32\RMActivate.exe
2010-12-14 20:03 . 2010-01-25 08:21 347136 ----a-w- d:\windows\system32\RMActivate_ssp.exe
2010-12-14 20:03 . 2009-09-10 14:58 1418752 ----a-w- d:\program files\Windows Media Player\setup_wm.exe
2010-12-14 20:03 . 2009-09-10 14:58 310784 ----a-w- d:\windows\system32\unregmp2.exe
2010-12-14 20:03 . 2009-10-23 17:10 714240 ----a-w- d:\windows\system32\timedate.cpl
2010-12-14 18:36 . 2010-12-14 18:36 -------- d-----w- D:\_OTL
2010-12-13 22:32 . 2010-12-13 22:33 -------- d-----w- d:\program files\ERUNT
2010-12-13 22:25 . 2010-12-13 22:25 -------- d-----w- d:\users\Andreas L\AppData\Roaming\Malwarebytes
2010-12-13 22:25 . 2010-12-13 22:25 -------- d-----w- d:\programdata\Malwarebytes
2010-12-13 22:25 . 2010-11-29 16:42 38224 ----a-w- d:\windows\system32\drivers\mbamswissarmy.sys
2010-12-13 22:25 . 2010-12-13 22:25 -------- d-----w- d:\program files\Malwarebytes' Anti-Malware
2010-12-13 22:25 . 2010-11-29 16:42 20952 ----a-w- d:\windows\system32\drivers\mbam.sys
2010-12-13 21:15 . 2010-12-13 22:42 -------- d-----w- d:\windows\system32\System
2010-12-10 17:11 . 2010-12-10 17:12 158382 ---h--w- d:\users\Andreas L\AppData\Roaming\Andreas L1.dll
2010-12-09 09:46 . 1998-06-17 17:07 57344 ----a-w- d:\windows\system32\Mfc42loc.dll
2010-12-09 09:43 . 2010-12-09 09:44 -------- d-----w- d:\program files\EA GAMES
2010-12-09 01:08 . 2010-12-09 01:08 -------- d-----w- d:\program files\LogMeIn Hamachi
2010-12-08 23:35 . 2010-12-16 11:21 -------- d-----w- d:\users\Andreas L\AppData\Local\LogMeIn Hamachi
2010-12-08 23:32 . 2009-03-18 15:35 26176 ---ha-w- d:\windows\system32\hamachi.sys
2010-12-08 22:16 . 2010-12-08 22:16 -------- d-----w- d:\program files\Alcohol Soft
2010-12-03 06:26 . 2010-12-03 06:26 -------- d-----w- d:\users\Andreas L\AppData\Local\Activision
2010-12-01 22:48 . 2010-12-01 22:48 -------- d-----w- d:\program files\ConduitEngine
2010-11-28 14:10 . 2010-11-28 14:10 -------- d-----w- d:\users\Andreas L\AppData\Roaming\Flatcast
2010-11-28 14:10 . 2010-11-28 14:10 695578 ----a-w- d:\windows\unins000.exe
2010-11-28 04:31 . 2010-11-28 04:31 -------- d-----w- d:\program files\Rockstar Games
2010-11-27 22:53 . 2010-12-13 22:42 -------- d-----w- D:\INSTALL
2010-11-26 08:37 . 2010-11-26 08:37 -------- d-----w- d:\programdata\Nexon
2010-11-26 01:24 . 2010-12-05 00:11 -------- d-----w- D:\Nexon
2010-11-26 01:24 . 2010-12-05 00:11 235 ----a-w- d:\windows\system32\nxEuUninstall.bat
2010-11-26 01:24 . 2010-12-05 00:11 446464 ----a-w- d:\windows\NEXON_EU_DownloaderUpdater.exe
2010-11-23 08:51 . 2010-11-10 04:33 6273872 ----a-w- d:\programdata\Microsoft\Windows Defender\Definition Updates\{C63BC180-2C48-40EC-A43C-21B37B479C48}\mpengine.dll
2010-11-20 02:52 . 2010-11-20 02:52 -------- d-----w- d:\users\Andreas L\AppData\Local\Yahoo!
2010-11-19 09:30 . 2010-11-19 09:30 -------- d-----w- d:\program files\SD EnterNET
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-12 01:52 . 2010-08-05 20:09 43520 ----a-w- d:\windows\system32\CmdLineExt03.dll
2010-12-10 09:17 . 2010-08-07 00:40 139128 ----a-w- d:\windows\system32\drivers\PnkBstrK.sys
2010-12-10 09:17 . 2010-08-07 20:20 215128 ----a-w- d:\windows\system32\PnkBstrB.xtr
2010-12-10 09:17 . 2010-08-07 00:40 215128 ----a-w- d:\windows\system32\PnkBstrB.exe
2010-12-09 14:40 . 2010-08-07 00:40 75136 ----a-w- d:\windows\system32\PnkBstrA.exe
2010-12-09 14:40 . 2010-08-07 00:40 270904 ----a-w- d:\windows\system32\PnkBstrB.ex0
2010-11-25 07:43 . 2010-08-07 00:40 138056 ----a-w- d:\users\Andreas L\AppData\Roaming\PnkBstrK.sys
2010-11-10 22:19 . 2010-11-10 22:19 472808 ----a-w- d:\windows\system32\deployJava1.dll
2010-10-24 10:06 . 2010-10-24 10:06 281760 ----a-w- d:\windows\system32\drivers\atksgt.sys
2010-10-24 10:06 . 2010-10-24 10:06 25888 ----a-w- d:\windows\system32\drivers\lirsgt.sys
2010-10-19 09:41 . 2010-08-04 15:27 222080 ------w- d:\windows\system32\MpSigStub.exe
2010-10-13 20:30 . 2010-10-13 20:30 107888 ----a-w- d:\windows\system32\CmdLineExt.dll
2010-09-27 07:07 . 2010-09-27 07:07 113216 ----a-w- d:\programdata\Microsoft\VCExpress\9.0\1031\ResourceCache.dll
2010-09-27 07:07 . 2010-09-27 07:07 416 ----a-w- d:\programdata\Microsoft\MSDN\9.0\1031\ResourceCache.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "d:\program files\softonic-de3\tbsof2.dll" [2010-10-18 3908192]
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-10-18 10:26 3908192 ----a-w- d:\program files\ConduitEngine\ConduitEngine.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
2010-10-18 10:26 3908192 ----a-w- d:\program files\softonic-de3\tbsof2.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}"= "d:\program files\softonic-de3\tbsof2.dll" [2010-10-18 3908192]
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}"= "d:\program files\softonic-de3\tbsof2.dll" [2010-10-18 3908192]
[HKEY_CLASSES_ROOT\clsid\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="d:\program files\Windows Sidebar\sidebar.exe" [2009-04-10 1233920]
"msnmsgr"="d:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="d:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"RtHDVCpl"="d:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2008-12-26 6707744]
"AVMWlanClient"="d:\program files\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136]
"Monitor"="d:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-07-12 74752]
"QuickTime Task"="d:\program files\QuickTime\QTTask.exe" [2010-08-10 421888]
"VirtualCloneDrive"="d:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-06-17 85160]
"trustGTX14"="d:\program files\Trust\GXT14 Mouse\POINTERGHOST.exe" [2009-06-05 4833792]
"ArcSoft Connection Service"="d:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-10-11 31232]
"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="d:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"SunJavaUpdateSched"="d:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"LogMeIn Hamachi Ui"="d:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-12-06 1910152]
d:\users\Andreas L\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
IMVU.lnk - d:\users\Andreas L\AppData\Roaming\IMVUClient\IMVUQualityAgent.exe [2010-12-1 21760]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
[HKLM\~\startupfolder\D:^Users^Andreas L^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^IMVU.lnk]
path=d:\users\Andreas L\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMVU.lnk
backup=d:\windows\pss\IMVU.lnk.Startup
backupExtension=.Startup
[HKLM\~\startupfolder\D:^Users^Andreas L^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk]
path=d:\users\Andreas L\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk
backup=d:\windows\pss\OpenOffice.org 3.2.lnk.Startup
backupExtension=.Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]
2010-12-06 07:31 1910152 ----a-w- d:\program files\LogMeIn Hamachi\hamachi-2-ui.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2010-11-11 01:07 1242448 ----a-w- d:\program files\Steam\Steam.exe
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;d:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 avmeject;AVM Eject;d:\windows\system32\drivers\avmeject.sys [2007-01-25 4352]
R3 CoachVid;CoachVid;d:\windows\system32\DRIVERS\CoachVid.sys [2007-04-20 45344]
R3 KMWDFilterV1;KMWDFilterV1;d:\windows\System32\Drivers\RPGMOUSEV1.sys [2009-06-10 18432]
R3 npggsvc;nProtect GameGuard Service;d:\windows\system32\GameMon.des [2010-09-06 3648584]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;d:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R4 sptd;sptd;d:\windows\System32\Drivers\sptd.sys [2010-08-10 691696]
S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;d:\program files\LogMeIn Hamachi\hamachi-2.exe [2010-12-06 1238408]
S2 TeamViewer5;TeamViewer 5;d:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-07-06 173352]
S3 FWLANUSB;AVM FRITZ!WLAN;d:\windows\system32\DRIVERS\fwlanusb.sys [2007-01-25 265088]
S3 PAC207;Trust WB-1400T Webcam;d:\windows\system32\DRIVERS\PFC027.SYS [2006-11-20 506112]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
[HKEY_CURRENT_USER\software\microsoft\active setup\installed components\{AD57F3D9-974E-EDD9-D5AE-74BA752AB2BA}]
d:\users\ANDREA~1\AppData\Local\Temp\taxi_tool.exe [BU]
[HKEY_CURRENT_USER\software\microsoft\active setup\installed components\{BCDACEDA-CAD5-3B51-DB84-64BA7783E1A0}]
d:\users\Andreas L\AppData\Roaming\javasvr.exe [BU]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = fritz.box;192.168.178.1
IE: {{d9288080-1baa-4bc4-9cf8-a92d743db949} - d:\users\Andreas L\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU\Run IMVU.lnk
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-16 12:21
Windows 6.0.6002 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc]
"ImagePath"="d:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1744265244-841379661-1100195608-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:a1,c5,c2,d6,a2,f6,01,66,df,16,32,48,d5,a4,91,b1,1d,5c,78,61,e4,84,63,
12,e2,6c,26,07,41,a9,65,2e,1d,91,c4,7f,7f,27,fc,a2,93,9d,ef,84,b0,be,3a,86,\
"??"=hex:cf,04,6d,49,dd,57,37,e3,6a,e6,2e,52,5d,86,22,38
[HKEY_USERS\S-1-5-21-1744265244-841379661-1100195608-1000\Software\SecuROM\License information*]
"datasecu"=hex:c5,fd,eb,f7,b2,79,20,59,f4,c3,12,25,21,57,84,b6,0e,9c,50,57,53,
76,39,fd,c9,1f,b5,7a,94,fc,1b,4b,61,83,eb,79,06,fb,35,40,50,0c,13,81,45,61,\
"rkeysecu"=hex:1a,37,50,eb,da,7b,3d,34,06,1d,23,61,20,2d,1f,2d
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@d:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="d:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2010-12-16 12:23:01
ComboFix-quarantined-files.txt 2010-12-16 11:22
ComboFix2.txt 2010-12-15 16:33
Vor Suchlauf: 16 Verzeichnis(se), 157.673.177.088 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 157.646.643.200 Bytes frei
- - End Of File - - 2D891A8B614520FCCA4A2483222CA70A[/QUOTE]
so hier der log |
|
16.12.2010, 16:12
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Viren eingefangen, bitte um Hilfe. Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
16.12.2010, 20:26
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Viren eingefangen, bitte um Hilfe. Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Viren eingefangen, bitte um Hilfe. |
| autostart, avast, backdoor.spynet, bifrose.trace, dateien, explorer, festgestellt, heuristics.shuriken, kaspersky, log, malwarebytes, microsoft, problem, pum.hijack.system.hidden, required, scan, seiten, sekunden, server.exe, services.exe, setup, software, stolen.data, svchost.exe, system32, temp, trojan.agent, viren, virus, webcam, worm.conficker |
AEMON Tools Lite -> Removed
Linear-Darstellung
