TR/Shutdowner.fft , Internetbrowser öffnet russische Schmuddelseiten bei allen Eingaben

Xory · 23.12.2010, 13:09

Hallo liebes Trojaner-Board-Team,

Ich kämpfe zurzeit mit dem o.g. Trojaner und auch noch einigen
anderen Schädlingen.
Diese öffnen mir bei allen Internetbrowsereingaben unseriöse russische
Seiten. Avira piept alle paar Sekunden mit der TR/Shutdowner.fft Meldung,
wenn ich den Guard nicht deaktiviere.
Ich habe bis dato schon sämtliches probiert, unter anderem Scans mit
Spybot, Malware bytes, Combofix etc.
Kein Programm konnte den o.g. Trojaner entfernen.
Ich Habe von allen Scans Logfiles erstellt und hoffe, dass mir Jemand
weiterhelfen kann. Vielen Dank schon mal im voraus !

Gruß Mark

markusg · 23.12.2010, 13:11

hi,na und wo sind die logs? :-)

Xory · 23.12.2010, 13:13

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5376

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22.12.2010 14:39:06
mbam-log-2010-12-22 (14-39-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 249386
Laufzeit: 27 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 26

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\JP595IR86O (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JP595IR86O (Rootkit.Agent) -> Value: JP595IR86O -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nonep (Trojan.Agent) -> Value: nonep -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NtWqIVLZEWZU (Rootkit.Agent) -> Value: NtWqIVLZEWZU -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{44F64078-CD88-82C8-EA60-3BD82A154A9B} (Trojan.Dropper) -> Value: {44F64078-CD88-82C8-EA60-3BD82A154A9B} -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Bad: (C:\Programme\HGcaCGvq\wfonmcso.exe) Good: () -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\Fgl.exe (Rootkit.Agent) -> No action taken.
c:\dokumente und einstellungen\*****\lokale einstellungen\Temp\tmp38773ffe\crypt_killexe.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\*****\lokale einstellungen\Temp\Fgm.exe (Rootkit.Agent) -> No action taken.
c:\dokumente und einstellungen\*****\anwendungsdaten\Xowy\ikar.exe (Trojan.Dropper) -> No action taken.
c:\programme\HGcaCGvq\wfonmcso.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\*****\startmenü\programme\autostart\wfonmcso.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\praxis\lokale einstellungen\temp\tmp83878d16\KillEXE.exe (Trojan.Banker) -> No action taken.
c:\dokumente und einstellungen\praxis\lokale einstellungen\temp\tmpaa3ab796\Output.exe (Spyware.Passwords.XGen) -> No action taken.
c:\dokumente und einstellungen\praxis\lokale einstellungen\temp\tmpc6a4e0b5\crypt_all.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\praxis\startmenü\programme\autostart\wfonmcso.exe (Trojan.Agent) -> No action taken.
c:\programme\jypixmrql$jœëwfonmcso.exe\wfonmcso.exe (Trojan.Agent) -> No action taken.
c:\programme\tmp\34w.exe (Backdoor.Bot) -> No action taken.
c:\system volume information\_restore{c739a1c2-d9f0-4681-b3bf-05f24e9fa184}\RP2\A0000390.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{c739a1c2-d9f0-4681-b3bf-05f24e9fa184}\RP2\A0000389.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{c739a1c2-d9f0-4681-b3bf-05f24e9fa184}\RP2\A0000416.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{c739a1c2-d9f0-4681-b3bf-05f24e9fa184}\RP2\A0000417.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{c739a1c2-d9f0-4681-b3bf-05f24e9fa184}\RP3\A0000538.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{c739a1c2-d9f0-4681-b3bf-05f24e9fa184}\RP3\A0000539.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{c739a1c2-d9f0-4681-b3bf-05f24e9fa184}\RP4\A0000571.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{c739a1c2-d9f0-4681-b3bf-05f24e9fa184}\RP4\A0000570.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{f4648567-0168-487a-a69b-b840417d9183}\RP0\A0004003.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{f4648567-0168-487a-a69b-b840417d9183}\RP0\A0004004.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{f4648567-0168-487a-a69b-b840417d9183}\RP0\A0006014.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{f4648567-0168-487a-a69b-b840417d9183}\RP0\A0006015.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> No action taken.
c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> No action taken.

Die Log Datei wurde anscheinend vor dem Reinigungsprozess gespeichert.
Diesen habe ich natürlich immer ausgeführt.

Xory · 23.12.2010, 13:14

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5376

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.12.2010 11:14:56
mbam-log-2010-12-23 (11-14-55).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 180481
Laufzeit: 2 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nonep (Trojan.Agent) -> Value: nonep -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{44F64078-CD88-82C8-EA60-3BD82A154A9B} (Trojan.Dropper) -> Value: {44F64078-CD88-82C8-EA60-3BD82A154A9B} -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Bad: (C:\Programme\TLKjHwNO\wfonmcso.exe) Good: () -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\*****\lokale einstellungen\Temp\tmpfa5d2c76\crypt_killexe.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\*****\anwendungsdaten\Erig\alygi.exe (Trojan.Dropper) -> No action taken.
c:\programme\TLKjHwNO\wfonmcso.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\*****\startmenü\programme\autostart\wfonmcso.exe (Trojan.Agent) -> No action taken.

Xory · 23.12.2010, 13:24

OTL EXTRAS Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 23.12.2010 12:07:26 - Run 1
OTL by OldTimer - Version 3.2.18.0     Folder = C:\Dokumente und Einstellungen\Gurba\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 90,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,04 Gb Total Space | 127,55 Gb Free Space | 85,58% Space Free | Partition Type: NTFS
 
Computer Name: ANMELDUNG | User Name: Gurba | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_USERS\S-1-5-21-1085031214-1532298954-1801674531-1003\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
"C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer -- (Microsoft Corporation)
"C:\Programme\TeamViewer\Version6\TeamViewer.exe" = C:\Programme\TeamViewer\Version6\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)
"C:\Programme\TeamViewer\Version6\TeamViewer_Service.exe" = C:\Programme\TeamViewer\Version6\TeamViewer_Service.exe:*:Enabled:Teamviewer Remote Control Service -- (TeamViewer GmbH)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{71C97545-E547-4A8B-B0C8-61FF853270AC}" = PaperPort
"{90120000-001C-0407-0000-0000000FF1CE}" = Microsoft Office Access Runtime (German) 2007
"{9211CCBB-BEFE-4A0C-9199-D7A535DBFE5F}" = Brother MFL-Pro Suite
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A8D93648-9F7F-407D-915C-62044644C3DA}" = MSI to redistribute MS VS2005 CRT libraries
"{B2FE1952-0186-46c3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 260.99
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NView" = NVIDIA nView 135.36
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{BBC9D205-0DAF-42E5-A383-0436E4B09A86}" = ORGA 6000 (CD 08.2010)
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"7-Zip" = 7-Zip 9.20
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"FBDBServer_2_1_is1" = Firebird 2.1.2.18118 (Win32)
"Gelbe Liste Pharmindex" = MMI PHARMINDEX
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"TeamViewer 6" = TeamViewer 6
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 16.12.2010 15:53:52 | Computer Name = ANMELDUNG | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung updategl.exe, Version 1.2.0.0, fehlgeschlagenes
 Modul updategl.exe, Version 1.2.0.0, Fehleradresse 0x000045bc.
 
Error - 17.12.2010 08:20:51 | Computer Name = ANMELDUNG | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung PMW.EXE, Version 2.3.0.894, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 17.12.2010 08:39:09 | Computer Name = ANMELDUNG | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung KVKSERVER.EXE, Version 1.1.0.33, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 17.12.2010 08:39:26 | Computer Name = ANMELDUNG | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung Regedit32.exe, Version 6.1.7600.16385, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 17.12.2010 10:07:10 | Computer Name = ANMELDUNG | Source = MsiInstaller | ID = 10005
Description = Produkt: BitDefender Antivirus Pro 2011 -- Bei der Installation dieses
 Pakets ist ein unerwarteter Fehler aufgetreten. Es liegt eventuell ein das Paket
 betreffendes Problem vor. Der Fehlercode ist 2753. Argumente: ieshow.exe, , 
 
Error - 20.12.2010 03:03:17 | Computer Name = ANMELDUNG | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung fgm.exe, Version 6.0.7007.1771, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x00010cce.
 
Error - 20.12.2010 04:22:46 | Computer Name = ANMELDUNG | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung fgm.exe, Version 6.0.7007.1771, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x000369da.
 
Error - 20.12.2010 06:06:05 | Computer Name = ANMELDUNG | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung fgm.exe, Version 6.0.7007.1771, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x00010cd0.
 
Error - 20.12.2010 06:33:28 | Computer Name = ANMELDUNG | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung fgm.exe, Version 6.0.7007.1771, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x00010cd0.
 
Error - 20.12.2010 11:58:32 | Computer Name = ANMELDUNG | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
[ System Events ]
Error - 22.12.2010 22:00:22 | Computer Name = ANMELDUNG | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 22.12.2010 22:01:26 | Computer Name = ANMELDUNG | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 22.12.2010 22:01:30 | Computer Name = ANMELDUNG | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 22.12.2010 22:01:30 | Computer Name = ANMELDUNG | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 22.12.2010 22:01:33 | Computer Name = ANMELDUNG | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 22.12.2010 22:01:33 | Computer Name = ANMELDUNG | Source = atapi | ID = 262149
Description = Ein Paritätsfehler wurde auf \Device\Ide\IdePort1 gefunden.
 
Error - 22.12.2010 22:01:33 | Computer Name = ANMELDUNG | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
Error - 22.12.2010 22:04:23 | Computer Name = ANMELDUNG | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Windows
 Presentation Foundation Font Cache 3.0.0.0.
 
Error - 22.12.2010 22:04:23 | Computer Name = ANMELDUNG | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Windows Presentation Foundation Font Cache 3.0.0.0" wurde
 aufgrund folgenden Fehlers nicht gestartet:   %%1053
 
Error - 23.12.2010 06:03:34 | Computer Name = ANMELDUNG | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk0\D gefunden.
 
 
< End of report >

--- --- ---

Xory · 23.12.2010, 13:27

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-12-22.05 - Gurba 23.12.2010  12:30:06.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1646 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\****\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\*****\Anwendungsdaten\chrtmp
c:\dokumente und einstellungen\praxis\Anwendungsdaten\Usru
c:\dokumente und einstellungen\praxis\Anwendungsdaten\Usru\exve.exe
c:\windows\regsvr32.exe
c:\windows\system\msvbvm60.dll

c:\windows\system32\winlogon.exe . . . ist infiziert!!

c:\windows\explorer.exe . . . ist infiziert!!

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


(((((((((((((((((((((((   Dateien erstellt von 2010-11-23 bis 2010-12-23  ))))))))))))))))))))))))))))))
.

2010-12-23 09:55 . 2010-12-23 09:55	--------	d-----w-	c:\programme\MSECache
2010-12-23 02:01 . 2008-07-06 12:06	89088	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2010-12-23 02:01 . 2008-07-06 12:06	89088	-c----w-	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2010-12-23 02:01 . 2008-07-06 12:06	117760	------w-	c:\windows\system32\prntvpt.dll
2010-12-23 02:01 . 2008-07-06 10:50	597504	-c----w-	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2010-12-23 02:01 . 2008-07-06 10:50	597504	------w-	c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2010-12-23 02:01 . 2010-12-23 02:01	--------	d-----w-	C:\987621f5f631b62539
2010-12-23 02:01 . 2008-07-06 12:06	575488	-c----w-	c:\windows\system32\dllcache\xpsshhdr.dll
2010-12-23 02:01 . 2008-07-06 12:06	575488	------w-	c:\windows\system32\xpsshhdr.dll
2010-12-23 02:01 . 2008-07-06 12:06	1676288	-c----w-	c:\windows\system32\dllcache\xpssvcs.dll
2010-12-23 02:01 . 2008-07-06 12:06	1676288	------w-	c:\windows\system32\xpssvcs.dll
2010-12-22 17:29 . 2010-12-23 10:15	--------	d-----w-	c:\programme\TLKjHwNO
2010-12-22 13:04 . 2010-11-29 16:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-22 13:03 . 2010-12-23 10:14	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-12-22 13:03 . 2010-11-29 16:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-12-21 20:08 . 2010-10-18 11:10	7680	-c----w-	c:\windows\system32\dllcache\iecompat.dll
2010-12-21 20:08 . 2010-12-22 02:00	--------	d-----w-	c:\windows\ie8updates
2010-12-21 20:07 . 2010-11-06 00:21	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2010-12-21 20:07 . 2010-11-06 00:21	55296	-c----w-	c:\windows\system32\dllcache\msfeedsbs.dll
2010-12-21 20:07 . 2010-11-06 00:21	602112	-c----w-	c:\windows\system32\dllcache\msfeeds.dll
2010-12-21 20:07 . 2010-11-06 00:21	1991680	-c----w-	c:\windows\system32\dllcache\iertutil.dll
2010-12-21 20:07 . 2010-11-06 00:21	247808	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2010-12-21 20:07 . 2010-11-06 00:21	11080704	-c----w-	c:\windows\system32\dllcache\ieframe.dll
2010-12-21 20:07 . 2010-11-06 00:21	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2010-12-21 02:56 . 2010-12-21 02:56	--------	d-----w-	c:\windows\system32\KB905474
2010-12-20 21:24 . 2010-12-22 13:39	--------	d-----w-	c:\programme\tmp
2010-12-20 16:31 . 2010-12-22 13:48	3584	----a-w-	c:\windows\system32\kb.dll
2010-12-20 16:28 . 2010-12-20 16:35	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-12-20 16:23 . 2010-12-20 16:26	--------	d-----w-	c:\programme\win
2010-12-20 16:09 . 2010-12-22 13:49	--------	d-----w-	c:\windows\system32\NtmsData
2010-12-20 15:55 . 2010-12-13 07:39	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-12-20 15:55 . 2010-12-13 07:39	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-12-20 15:55 . 2010-06-17 13:27	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-12-20 15:55 . 2010-06-17 13:27	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-12-20 15:55 . 2010-12-20 15:55	--------	d-----w-	c:\programme\Avira
2010-12-20 14:53 . 2009-02-02 11:38	106496	----a-w-	c:\windows\system32\ct_api_org.dll
2010-12-20 14:53 . 2008-08-28 19:45	49152	----a-w-	c:\windows\system32\ct_api_usb.dll
2010-12-20 14:53 . 2008-08-28 14:14	57344	----a-w-	c:\windows\system32\ct_api_com.dll
2010-12-20 14:53 . 2006-03-01 12:18	163840	----a-w-	c:\windows\system32\ct_api_omy.dll
2010-12-20 14:53 . 2006-01-20 12:28	389120	----a-w-	c:\windows\system32\ct_api_kob.dll
2010-12-20 14:53 . 2003-01-14 10:32	73728	----a-w-	c:\windows\system32\ct_api_scr.dll
2010-12-20 14:53 . 2002-02-28 10:52	61504	----a-w-	c:\windows\system32\Ct_api_chy.dll
2010-12-20 10:40 . 2010-12-20 10:41	--------	d-----w-	c:\programme\temp
2010-12-17 12:30 . 2010-12-17 12:30	--------	d-----w-	c:\programme\7-Zip
2010-12-17 06:48 . 2010-02-24 13:11	455680	-c----w-	c:\windows\system32\dllcache\mrxsmb.sys
2010-12-17 06:47 . 2008-06-14 17:32	273024	-c----w-	c:\windows\system32\dllcache\bthport.sys
2010-12-17 06:47 . 2008-06-14 17:32	273024	------w-	c:\windows\system32\drivers\bthport.sys
2010-12-17 06:47 . 2010-04-28 18:11	2192256	-c----w-	c:\windows\system32\dllcache\ntoskrnl.exe
2010-12-17 06:47 . 2010-04-28 05:41	2148864	-c----w-	c:\windows\system32\dllcache\ntkrnlmp.exe
2010-12-17 06:47 . 2010-04-28 05:41	2069120	-c----w-	c:\windows\system32\dllcache\ntkrnlpa.exe
2010-12-17 06:47 . 2010-04-28 05:41	2027008	-c----w-	c:\windows\system32\dllcache\ntkrpamp.exe
2010-12-17 06:45 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2010-12-17 06:45 . 2009-11-27 16:08	8704	-c----w-	c:\windows\system32\dllcache\tsbyuv.dll
2010-12-17 06:45 . 2009-11-27 16:08	48128	-c----w-	c:\windows\system32\dllcache\iyuv_32.dll
2010-12-16 21:08 . 2009-01-07 17:20	26144	----a-w-	c:\windows\system32\spupdsvc.exe
2010-12-16 20:58 . 2010-12-22 13:43	--------	d-----w-	c:\programme\HGcaCGvq
2010-12-16 20:20 . 2005-05-09 10:38	55296	------w-	c:\windows\system32\brinsstr.dll
2010-12-16 20:20 . 2005-06-02 00:09	86016	------w-	c:\windows\system32\BrWebIns.dll
2010-12-16 20:20 . 2005-06-02 00:08	69632	------w-	c:\windows\system32\BRWEBUP.EXE
2010-12-16 20:20 . 2004-12-03 00:26	188416	------w-	c:\windows\system32\PDRVINST.DLL
2010-12-16 20:20 . 2005-10-13 18:18	163840	------w-	c:\windows\system32\NSSearch.dll
2010-12-16 20:20 . 2005-09-13 00:02	126976	------w-	c:\windows\system32\BrfxD05a.dll
2010-12-16 20:20 . 2005-08-09 17:59	53248	------w-	c:\windows\system32\BrMfNt.dll
2010-12-16 20:20 . 2002-11-26 12:43	106496	------w-	c:\windows\system32\BrMuSNMP.dll
2010-12-16 20:20 . 2004-12-10 15:35	147456	------w-	c:\windows\brunin03.dll
2010-12-16 19:46 . 2009-02-27 23:23	450560	----a-w-	c:\windows\system32\GDS32.DLL
2010-12-16 19:46 . 2009-02-27 14:34	462848	----a-w-	c:\windows\system32\Firebird2Control.cpl
2010-12-16 19:46 . 2010-12-16 19:46	--------	d-----w-	c:\programme\Firebird
2010-12-16 19:42 . 2010-12-16 19:53	--------	d-----w-	c:\programme\MMI PHARMINDEX
2010-12-16 19:26 . 2008-04-13 23:15	26112	-c--a-w-	c:\windows\system32\dllcache\usbser.sys
2010-12-16 19:26 . 2008-04-13 23:15	26112	----a-w-	c:\windows\system32\drivers\usbser.sys
2010-12-16 19:26 . 2008-05-06 09:53	81920	----a-w-	c:\windows\system32\ORGVC.dll
2010-12-16 19:25 . 2006-11-02 07:21	319456	----a-w-	c:\windows\system32\difxapi.dll
2010-12-16 19:25 . 2009-02-02 11:38	106496	----a-w-	c:\windows\system32\CTORG32.dll
2010-12-16 19:18 . 2010-12-16 19:18	240592	----a-w-	c:\windows\system32\nvdrsdb0.bin
2010-12-16 19:15 . 2010-12-16 19:20	--------	d-----w-	c:\programme\NVIDIA Corporation
2010-12-16 19:15 . 2010-12-16 19:15	--------	d-----w-	C:\NVIDIA
2010-12-16 19:08 . 2008-04-13 23:15	26368	-c--a-w-	c:\windows\system32\dllcache\usbstor.sys
2010-12-16 18:58 . 2003-09-28 22:36	102400	----a-w-	c:\windows\system32\FDFACX.DLL
2010-12-16 18:58 . 2003-09-28 22:36	634880	----a-w-	c:\windows\system32\FdfTk.dll
2010-12-16 18:50 . 2003-10-07 08:59	319488	----a-w-	c:\windows\nix2.exe
2010-12-16 18:45 . 2010-12-16 18:45	5607	----a-w-	c:\windows\~GLH0001.TMP
2010-12-16 18:45 . 2010-12-16 18:45	134144	----a-w-	c:\windows\~GLC0001.TMP
2010-12-16 18:40 . 2010-12-16 18:40	5607	----a-w-	c:\windows\~GLH0000.TMP
2010-12-16 18:40 . 2010-12-16 18:40	134144	----a-w-	c:\windows\~GLC0000.TMP
2010-12-16 18:30 . 1998-04-27 00:00	570128	----a-w-	c:\windows\system32\DAO350.DLL
2010-12-16 18:25 . 1999-04-21 01:00	37136	----a-w-	c:\windows\system\Regsvr32.exe
2010-12-16 18:02 . 2010-12-16 18:02	--------	d-----w-	c:\programme\Lavalys
2010-12-16 17:50 . 2010-12-03 19:43	555752	----a-w-	c:\programme\Mozilla Firefox\uninstall\helper.exe
2010-12-16 17:49 . 2010-12-03 19:43	25048	----a-w-	c:\programme\Mozilla Firefox\components\browserdirprovider.dll
2010-12-16 17:49 . 2010-12-03 19:43	140248	----a-w-	c:\programme\Mozilla Firefox\components\brwsrcmp.dll
2010-12-16 17:44 . 2008-04-13 23:17	25856	-c--a-w-	c:\windows\system32\dllcache\usbprint.sys
2010-12-16 17:44 . 2008-04-13 23:17	25856	----a-w-	c:\windows\system32\drivers\usbprint.sys
2010-12-16 17:44 . 2008-04-13 23:15	32128	-c--a-w-	c:\windows\system32\dllcache\usbccgp.sys
2010-12-16 17:44 . 2008-04-13 23:15	32128	----a-w-	c:\windows\system32\drivers\usbccgp.sys
2010-12-16 17:21 . 2008-04-13 23:09	5376	-c--a-w-	c:\windows\system32\dllcache\mspclock.sys
2010-12-16 17:21 . 2008-04-13 23:09	5376	----a-w-	c:\windows\system32\drivers\MSPCLOCK.sys
2010-12-16 17:21 . 2008-04-13 23:49	146048	-c--a-w-	c:\windows\system32\dllcache\portcls.sys
2010-12-16 17:21 . 2008-04-13 23:49	146048	----a-w-	c:\windows\system32\drivers\portcls.sys
2010-12-16 17:21 . 2008-04-14 06:52	4096	-c--a-w-	c:\windows\system32\dllcache\ksuser.dll
2010-12-16 17:21 . 2008-04-14 06:52	4096	----a-w-	c:\windows\system32\ksuser.dll
2010-12-16 17:16 . 2007-07-12 03:49	96384	----a-r-	c:\windows\system32\drivers\Rtnicxp.sys
2010-12-16 17:14 . 2010-12-23 09:54	--------	d-----w-	c:\dokumente und einstellungen\Gurba
2010-12-16 17:13 . 2010-12-16 17:13	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT
2010-12-16 17:13 . 2010-12-16 17:13	--------	d-sh--w-	c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT
2010-12-16 17:11 . 2008-04-14 12:00	45568	-c--a-w-	c:\windows\system32\dllcache\ssinc51.dll
2010-12-16 17:10 . 2008-04-14 12:00	13463552	-c--a-w-	c:\windows\system32\dllcache\hwxjpn.dll
2010-12-16 17:09 . 2004-05-12 23:39	598071	-c--a-w-	c:\windows\system32\dllcache\fpmmc.dll
2010-12-16 17:07 . 2008-04-14 12:00	11264	-c--a-w-	c:\windows\system32\dllcache\atrace.dll
2010-12-16 17:06 . 2009-08-06 18:24	327896	-c--a-w-	c:\windows\system32\dllcache\wucltui.dll
2010-12-16 17:05 . 2008-04-14 12:00	33792	----a-w-	c:\programme\Messenger\custsat.dll
2010-12-16 17:03 . 2008-04-14 12:00	677888	-c--a-w-	c:\windows\system32\dllcache\lhmstsc.exe
2010-12-16 16:59 . 2001-08-17 12:59	3072	----a-w-	c:\windows\system32\drivers\audstub.sys
2010-12-16 16:59 . 2008-04-14 06:22	57728	----a-w-	c:\windows\system32\drivers\redbook.sys
2010-12-16 16:58 . 2008-04-14 06:52	77312	-c--a-w-	c:\windows\system32\dllcache\usbui.dll
2010-12-16 16:58 . 2008-04-14 06:52	77312	----a-w-	c:\windows\system32\usbui.dll
2010-12-16 16:56 . 2008-04-14 12:00	22016	-c--a-w-	c:\windows\system32\dllcache\agt0408.dll
2010-12-16 16:56 . 2008-04-14 12:00	19456	-c--a-w-	c:\windows\system32\dllcache\agt041f.dll
2010-12-16 16:56 . 2008-04-14 12:00	19456	-c--a-w-	c:\windows\system32\dllcache\agt0419.dll
2010-12-16 16:56 . 2008-04-14 12:00	19968	-c--a-w-	c:\windows\system32\dllcache\agt040e.dll
2010-12-16 16:56 . 2008-04-14 12:00	19456	-c--a-w-	c:\windows\system32\dllcache\agt0415.dll
2010-12-16 16:56 . 2008-04-14 12:00	19456	-c--a-w-	c:\windows\system32\dllcache\agt0405.dll
2010-12-16 16:54 . 2010-12-17 12:47	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS
2010-12-16 16:54 . 2010-12-16 17:09	--------	d--h--w-	c:\dokumente und einstellungen\Default User.WINDOWS
2010-12-15 16:46 . 2010-12-15 16:46	--------	d-----w-	c:\dokumente und einstellungen\Administrator

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-06 00:21 . 2008-04-14 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2008-04-14 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2008-04-14 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-11-03 12:25 . 2008-04-14 12:00	385024	------w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2008-04-14 12:00	40960	----a-w-	c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2008-04-14 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2008-04-14 12:00	1853440	----a-w-	c:\windows\system32\win32k.sys
2010-10-16 11:05 . 2010-10-16 11:05	81920	----a-w-	c:\windows\system32\nvwddi.dll
2010-10-16 11:05 . 2010-10-16 11:05	335872	----a-w-	c:\windows\system32\nvrsar.dll
2010-10-16 11:05 . 2010-10-16 11:05	331776	----a-w-	c:\windows\system32\nvrshe.dll
2010-10-16 11:05 . 2010-10-16 11:05	286720	----a-w-	c:\windows\system32\nvrsfr.dll
2010-10-16 11:05 . 2010-10-16 11:05	282624	----a-w-	c:\windows\system32\nvrses.dll
2010-10-16 11:05 . 2010-10-16 11:05	282624	----a-w-	c:\windows\system32\nvrsel.dll
2010-10-16 11:05 . 2010-10-16 11:05	278528	----a-w-	c:\windows\system32\nvrsde.dll
2010-10-16 11:05 . 2010-10-16 11:05	274432	----a-w-	c:\windows\system32\nvrsnl.dll
2010-10-16 11:05 . 2010-10-16 11:05	274432	----a-w-	c:\windows\system32\nvrsesm.dll
2010-10-16 11:05 . 2010-10-16 11:05	270336	----a-w-	c:\windows\system32\nvrsru.dll
2010-10-16 11:05 . 2010-10-16 11:05	270336	----a-w-	c:\windows\system32\nvrsptb.dll
2010-10-16 11:05 . 2010-10-16 11:05	266240	----a-w-	c:\windows\system32\nvrsko.dll
2010-10-16 11:05 . 2010-10-16 11:05	262144	----a-w-	c:\windows\system32\nvrshu.dll
2010-10-16 11:05 . 2010-10-16 11:05	258048	----a-w-	c:\windows\system32\nvrstr.dll
2010-10-16 11:05 . 2010-10-16 11:05	258048	----a-w-	c:\windows\system32\nvrssl.dll
2010-10-16 11:05 . 2010-10-16 11:05	258048	----a-w-	c:\windows\system32\nvrssk.dll
2010-10-16 11:05 . 2010-10-16 11:05	253952	----a-w-	c:\windows\system32\nvrsth.dll
2010-10-16 11:05 . 2010-10-16 11:05	253952	----a-w-	c:\windows\system32\nvrssv.dll
2010-10-16 11:05 . 2010-10-16 11:05	253952	----a-w-	c:\windows\system32\nvrsda.dll
2010-10-16 11:05 . 2010-10-16 11:05	249856	----a-w-	c:\windows\system32\nvrsfi.dll
2010-10-16 11:05 . 2010-10-16 11:05	249856	----a-w-	c:\windows\system32\nvrseng.dll
2010-10-16 11:05 . 2010-10-16 11:05	249856	----a-w-	c:\windows\system32\nvrscs.dll
2010-10-16 11:05 . 2010-10-16 11:05	229376	----a-w-	c:\windows\system32\nvrszhc.dll
2010-10-16 11:05 . 2010-10-16 11:05	126976	----a-w-	c:\windows\system32\nvrszht.dll
2010-10-16 11:05 . 2010-10-16 11:05	282624	----a-w-	c:\windows\system32\nvrsit.dll
2010-10-16 11:05 . 2010-10-16 11:05	277608	----a-w-	c:\windows\system32\nvmccs.dll
2010-10-16 11:05 . 2010-10-16 11:05	274432	----a-w-	c:\windows\system32\nvrspt.dll
2010-10-16 11:05 . 2010-10-16 11:05	270336	----a-w-	c:\windows\system32\nvrsja.dll
2010-10-16 11:05 . 2010-10-16 11:05	258048	----a-w-	c:\windows\system32\nvrspl.dll
2010-10-16 11:05 . 2010-10-16 11:05	253952	----a-w-	c:\windows\system32\nvrsno.dll
2010-10-16 11:05 . 2010-10-16 11:05	156776	----a-w-	c:\windows\system32\nvsvc32.exe
2010-10-16 11:05 . 2010-10-16 11:05	145000	----a-w-	c:\windows\system32\nvcolor.exe
2010-10-16 11:05 . 2010-10-16 11:05	13851752	----a-w-	c:\windows\system32\nvcpl.dll
2010-10-16 11:05 . 2010-10-16 11:05	110696	----a-w-	c:\windows\system32\nvmctray.dll
2010-07-08 08:37 . 2010-07-08 08:37	101544	----a-w-	c:\programme\Gemeinsame Dateien\LinkInstaller.exe
.

------- Sigcheck -------

[-] 2008-04-14 . D9ABB6EA254FD611A5A4F636ADD32B30 . 513024 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . E98439A61C31BE2F10BC5F69070E462E . 1036800 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 16857600]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-10-16 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-10-16 13851752]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2010-08-25 1753192]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"SetDefPrt"="c:\programme\Brother\Brmfl05c\BrStDvPt.exe" [2005-01-26 49152]
"ControlCenter2.0"="c:\programme\Brother\ControlCenter2\brctrcen.exe" [2005-11-11 995328]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Administrator\Startmen\Programme\Autostart\
iqoqo.exe [2010-12-3 122775]
oqilh.exe [2010-12-15 202240]
toipbe.exe [2010-12-15 202240]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
iqoqo.exe [2010-12-3 122775]
oqilh.exe [2010-12-15 202240]
toipbe.exe [2010-12-15 202240]

c:\dokumente und einstellungen\Default User\Startmen\Programme\Autostart\
iqoqo.exe [2010-12-3 122775]
oqilh.exe [2010-12-15 202240]
toipbe.exe [2010-12-15 202240]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.12.2010 16:55 135336]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\programme\Firebird\Firebird_2_1\bin\fbguard.exe -s DefaultInstance --> c:\programme\Firebird\Firebird_2_1\bin\fbguard.exe -s DefaultInstance [?]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\programme\Firebird\Firebird_2_1\bin\fbserver.exe -s DefaultInstance --> c:\programme\Firebird\Firebird_2_1\bin\fbserver.exe -s DefaultInstance [?]
.
Inhalt des "geplante Tasks" Ordners

2010-12-23 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2010-12-21 21:18]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Se&nd to OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
FF - ProfilePath - c:\dokumente und einstellungen\Gurba\Anwendungsdaten\Mozilla\Firefox\Profiles\y7ru3wnf.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-23 12:37
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(112)
c:\windows\system32\webcheck.dll
c:\programme\7-Zip\7-zip.dll
c:\progra~1\SPYBOT~1\SDHelper.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Firebird\Firebird_2_1\bin\fbguard.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Firebird\Firebird_2_1\bin\fbserver.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wpabaln.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-12-23  12:40:46 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-12-23 11:40
ComboFix2.txt  2010-12-15 07:57
ComboFix3.txt  2010-12-12 16:38

Vor Suchlauf: 19 Verzeichnis(se), 136.857.374.720 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 136.829.214.720 Bytes frei

- - End Of File - - 528262B822F355C9BA66E38F247E88D9

--- --- ---

markusg · 23.12.2010, 13:29

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
poste otl.txt bitte

Xory · 23.12.2010, 13:32

So und noch den SpyBot Log.

markusg · 23.12.2010, 13:33

ok, poste das otl log bitte nach meinen angaben, ist ein post über deinem, ich war da wohl etwas zu schnell

Xory · 23.12.2010, 13:51

OTL.txt als zip
nochmal nach deinen Angaben

markusg · 23.12.2010, 14:03

1. deinstaliere mal spybot, das stört die reinigung.
2.
dep für alle prozesse:
http://www.winfaq.de/faq_html/Conten...?h=tip2323.htm
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
teile mir meldungen der dep mit.
3.
• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\iqoqo.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\oqilh.exe (None)
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\toipbe.exe (None)
O4 - Startup: C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\iqoqo.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\oqilh.exe (None)
O4 - Startup: C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\toipbe.exe (None)
[2010.12.22 18:29:41 | 000,000,000 | ---D | C] -- C:\Programme\TLKjHwNO
[2010.12.21 14:28:39 | 000,000,000 | ---D | C] -- C:\Programme\windows
[2010.12.20 17:23:26 | 000,000,000 | ---D | C] -- C:\Programme\win
[2010.12.18 00:30:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Gurba\Anwendungsdaten\Poywhe
[2010.12.17 04:44:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Gurba\Anwendungsdaten\Xowy
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.
pc sollte wieder im normal modus starten können.

öffne den arbeitsplatz, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

Xory · 27.12.2010, 11:50

Hallo Markus,

Ich konnte über die Weihnachtstage nicht an den Rechner und schreibe deshalb
erst heute wieder.
Ich habe alle Schritte ausgeführt , aber nicht ganz verstanden, was es mit den
Meldungen der DEP auf sich hat.
Ich habe, wie in der Anleitung beschrieben, in der BOOT.INI /NoExecute reingeschrieben.
Nach dem Neustart hat sich nichts verändert und es kam auch keine Meldung !?

gruß Mark

markusg · 27.12.2010, 12:20

hi, es gibt nicht bei jedem ne meldung.
deswegen auch "falls"
du hast das falsche hochgeladen. ich sprach vom ordner moved files, den solltest du packen und hochladen.

Xory · 27.12.2010, 13:24

Ok alles klar. Der richtige Ordner müsste hochgeladen sein.

markusg · 27.12.2010, 13:30

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

23.12.2010, 13:11	#2
markusg /// Malware-holic	TR/Shutdowner.fft , Internetbrowser öffnet russische Schmuddelseiten bei allen Eingaben hi,na und wo sind die logs? :-) __________________ __________________

TR/Shutdowner.fft , Internetbrowser öffnet russische Schmuddelseiten bei allen Eingaben

Plagegeister aller Art und deren Bekämpfung: TR/Shutdowner.fft , Internetbrowser öffnet russische Schmuddelseiten bei allen Eingaben