Hallo zusammen,

dies ist mein erster Beitrag in diesem Forum, deswegen bitte ich euch nachsichtig zu sein.

aber nun zu meinem Problem:

Gmer findet das Rootkit Sinowal in meinem MBR. Avira Antivir meldet den Trojaner TR/Small.ahzz in der Datei dll.dll im System32-Verzeichnis.
Mithilfe von SysInternals habe ich herausgefunden, das diese als svchost Verbindungen zu mir unbekannten Hosts auf Port 6346 aufbaut.

Infiziert hab ich mich anscheinend durch ein infiziertes PDF.

Anbei sind die Logs OTL, Gmer und Extra.

Eine Neuinstallation würde ich gerne wegen meiner Mutter, die nur schwer mit Veränderungen am PC klarkommt vermeiden.

Ich hoffe, dass ihr mir helfen könnt und bedanke mich im Voraus.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Danke für die Antwort,

soll ich einen Quick- oder Vollscan machen.
Ist es möglich, dass Sinowal nur festgestellt wurde, weil ich grub2 im MBR installiert habe?

mfg

Zitat:

weil ich grub2 im MBR installiert habe?

Glaub ich nicht.
Mach bitte einen Vollscan mit Malwarebytes.

Wie ich deine Antwort erhalten habe, abe ich schon ein Quick-Scan gemacht. Anbei ist das Log. Aber Qctray kann es nicht sein weil es der Spybot DB als Autostart bekannt ist. Es gehört zu den Thinkpads. Ich reich den Komplettscan noch nach.

mfg

Die anderen Funde solltest du aber schon entfernen!

Der komplette Scan hat 4 Stunden und 45 Minuten gedauert!
Anbei ist das Log.

mfg

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Ich habe deine Anweisungen befolgt. Hier ist das Ergebnis.

mfg

Code: Alles auswählenAufklappen

ATTFilter

2011/04/08 15:34:56.0949 4080	Detected object count: 1
2011/04/08 15:35:23.0457 4080	\HardDisk0 (Backdoor.Win32.Sinowal.knf) - will be cured after reboot
2011/04/08 15:35:23.0467 4080	\HardDisk0 - ok
2011/04/08 15:35:23.0467 4080	Backdoor.Win32.Sinowal.knf(\HardDisk0) - User select action: Cure 
2011/04/08 15:35:31.0809 0768	Deinitialize success
         

Sinowal wurde erkannt und entfernt. Bitte Windows neu starten und den TDSS-Killer zur Kontrolle nochmal ausführen - Log posten.

Er hat nichts mehr gefunden. Die unbekannten Verbindungen sind auch verschwunden. Wie stelle ich nun sicher , dass das System nicht mehr verseucht ist?

mfg

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo,

hier ist das Ergebnis:
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-04-07.08 - gturetschek 08.04.2011  16:46:52.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\gturetschek\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\WINDOWS
c:\dokumente und einstellungen\Default User\WINDOWS
c:\dokumente und einstellungen\gturetschek\WINDOWS
c:\progra~1\ThinkPad\CONNEC~1\Qctray.exe
c:\windows\system32\config\systemprofile\WINDOWS
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SSHNAS
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-03-08 bis 2011-04-08  ))))))))))))))))))))))))))))))
.
.
2011-04-08 14:31 . 2011-04-08 14:31	--------	d-----w-	c:\programme\CCleaner
2011-04-08 13:22 . 2011-01-21 11:11	95672	----a-w-	c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2011-04-07 14:03 . 2011-04-07 14:03	--------	d-----w-	c:\dokumente und einstellungen\gturetschek\Anwendungsdaten\Malwarebytes
2011-04-07 14:03 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-07 14:03 . 2011-04-07 14:03	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-04-07 14:03 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-07 14:03 . 2011-04-07 14:03	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-04-06 13:49 . 2011-04-06 13:49	--------	d-----w-	c:\programme\ERUNT
2011-04-04 10:51 . 2011-04-06 13:15	296487	----a-w-	c:\windows\system32\shimg.dll
2011-03-24 18:00 . 2011-03-24 18:00	781272	----a-w-	c:\programme\Mozilla Firefox\mozsqlite3.dll
2011-03-24 18:00 . 2011-03-24 18:00	1874904	----a-w-	c:\programme\Mozilla Firefox\mozjs.dll
2011-03-24 18:00 . 2011-03-24 18:00	728024	----a-w-	c:\programme\Mozilla Firefox\libGLESv2.dll
2011-03-24 18:00 . 2011-03-24 18:00	15832	----a-w-	c:\programme\Mozilla Firefox\mozalloc.dll
2011-03-24 18:00 . 2011-03-24 18:00	142296	----a-w-	c:\programme\Mozilla Firefox\libEGL.dll
2011-03-24 18:00 . 2011-03-24 18:00	1893336	----a-w-	c:\programme\Mozilla Firefox\d3dx9_42.dll
2011-03-24 18:00 . 2011-03-24 18:00	1975768	----a-w-	c:\programme\Mozilla Firefox\D3DCompiler_42.dll
2011-03-24 18:00 . 2011-03-24 18:00	142296	----a-w-	c:\programme\Mozilla Firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-09 13:53 . 2008-09-10 12:21	186880	------w-	c:\windows\system32\encdec.dll
2011-02-09 13:53 . 2008-09-10 12:21	270848	------w-	c:\windows\system32\sbe.dll
2011-02-02 19:40 . 2010-07-10 12:08	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-02-02 17:19 . 2008-09-16 14:52	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-02-02 07:58 . 2008-09-10 12:18	2067456	----a-w-	c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2008-09-10 12:18	677888	----a-w-	c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2008-09-10 12:18	440832	----a-w-	c:\windows\system32\shimgvw.dll
2011-03-24 18:00 . 2011-03-24 18:00	142296	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AEIWLSTA.EXE"="AEIWLSTA.EXE START" [X]
"AGRSMMSG"="AGRSMMSG.exe" [2002-01-15 87037]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672]
"AtiPTA"="atiptaxx.exe" [2002-01-18 311296]
"TrackPointSrv"="tp4serv.exe" [2002-01-18 176128]
"TP4EX"="tp4ex.exe" [2002-01-09 53248]
"TPHOTKEY"="c:\progra~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2002-01-28 69632]
"TPTRAY"="c:\progra~1\ThinkPad\UTILIT~1\TP98TRAY.EXE" [2002-02-19 47104]
"BMMGAG"="c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2002-01-14 57856]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2002-01-21 102453]
"EPSON Stylus Photo RX420 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2011-01-21 624056]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2005-6-16 49152]
Wireless LAN Utility.lnk - c:\programme\LevelOne WPC-0301\WlanCU.exe [2007-11-28 626688]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\CounterPath\\X-Lite\\x-lite.exe"=
"c:\\Programme\\Mozilla Thunderbird\\thunderbird.exe"=
"c:\\Dokumente und Einstellungen\\gturetschek\\Anwendungsdaten\\Thunderbird\\Profiles\\uv49z4g6.default\\extensions\\{83d1f945-8280-11db-96a7-00e08161165f}\\spambayes\\win\\sbpython.exe"=
"c:\\IBMTOOLS\\UPDATER\\jre\\bin\\javaw.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\fotobuch.de\\Designer 2.0\\Designer.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"6316:TCP"= 6316:TCP:Services
"3908:TCP"= 3908:TCP:Services
"3454:TCP"= 3454:TCP:Services
"3451:TCP"= 3451:TCP:Services
"2613:TCP"= 2613:TCP:Services
"3106:TCP"= 3106:TCP:Services
"6178:TCP"= 6178:TCP:Services
"6177:TCP"= 6177:TCP:Services
"1551:TCP"= 1551:TCP:Services
"2973:TCP"= 2973:TCP:Services
"4796:TCP"= 4796:TCP:Services
"7853:TCP"= 7853:TCP:Services
"5921:TCP"= 5921:TCP:Services
"9913:TCP"= 9913:TCP:Services
"2773:TCP"= 2773:TCP:Services
.
R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [09.09.2008 09:18 12288]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.08.2009 16:59 108289]
R3 AEIWL;High Rate Wireless LAN MiniPCI Combo Card Driver;c:\windows\system32\drivers\AEIWLNDS.sys [01.01.1980 50688]
R3 Tp4Track;IBM PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [01.01.1980 13055]
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-08 c:\windows\Tasks\BMMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\Bmmtask.exe [2008-09-09 23:23]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.fbi.h-da.de/
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\gturetschek\Anwendungsdaten\Mozilla\Firefox\Profiles\rz0yswqv.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.fbi.h-da.de/
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-QCTRAY - c:\progra~1\ThinkPad\CONNEC~1\Qctray.exe
HKLM-Run-SunJavaUpdateSched - c:\programme\Java\jre6\bin\jusched.exe
Notify-cryptnet32 - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-04-08 17:03
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\¹mÑw*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(920)
c:\windows\SYSTEM32\Wireless\WirelessGina.DLL
.
- - - - - - - > 'explorer.exe'(3560)
c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\System32\Ati2evxx.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\QCONSVC.EXE
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\AGRSMMSG.exe
c:\windows\system32\atiptaxx.exe
c:\windows\system32\tp4serv.exe
c:\windows\system32\RunDll32.exe
c:\windows\system32\AEIWLSTA.EXE
c:\windows\system32\rundll32.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
c:\programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-04-08  17:21:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-04-08 15:21
.
Vor Suchlauf: 221.626.368 Bytes frei
Nach Suchlauf: 148.430.848 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
.
- - End Of File - - C4CBF8D8F41EAE6A43E1560B8F7F499B
         

--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"=-
"65533:TCP"=-
"52344:TCP"=-
"6316:TCP"=-
"3908:TCP"=-
"3454:TCP"=-
"3451:TCP"=-
"2613:TCP"=-
"3106:TCP"=-
"6178:TCP"=-
"6177:TCP"=-
"1551:TCP"=-
"2973:TCP"=-
"4796:TCP"=-
"7853:TCP"=-
"5921:TCP"=-
"9913:TCP"=-
"2773:TCP"=-
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Kannst mir kurz erklären, was ComboFix eigentlich macht und anhand welcher Kriterien es entscheidet Dateien zu löschen?

Hier ist das Ergebnis:
Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 11-04-07.08 - gturetschek 09.04.2011  10:34:19.2.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\gturetschek\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\gturetschek\Desktop\CFScript.txt.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\crt.dat
c:\windows\system32\shimg.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-03-09 bis 2011-04-09  ))))))))))))))))))))))))))))))
.
.
2011-04-08 14:31 . 2011-04-08 14:31	--------	d-----w-	c:\programme\CCleaner
2011-04-08 13:22 . 2011-01-21 11:11	95672	----a-w-	c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2011-04-07 14:03 . 2011-04-07 14:03	--------	d-----w-	c:\dokumente und einstellungen\gturetschek\Anwendungsdaten\Malwarebytes
2011-04-07 14:03 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-07 14:03 . 2011-04-07 14:03	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-04-07 14:03 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-07 14:03 . 2011-04-07 14:03	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-04-06 13:49 . 2011-04-06 13:49	--------	d-----w-	c:\programme\ERUNT
2011-03-24 18:00 . 2011-03-24 18:00	781272	----a-w-	c:\programme\Mozilla Firefox\mozsqlite3.dll
2011-03-24 18:00 . 2011-03-24 18:00	1874904	----a-w-	c:\programme\Mozilla Firefox\mozjs.dll
2011-03-24 18:00 . 2011-03-24 18:00	728024	----a-w-	c:\programme\Mozilla Firefox\libGLESv2.dll
2011-03-24 18:00 . 2011-03-24 18:00	15832	----a-w-	c:\programme\Mozilla Firefox\mozalloc.dll
2011-03-24 18:00 . 2011-03-24 18:00	142296	----a-w-	c:\programme\Mozilla Firefox\libEGL.dll
2011-03-24 18:00 . 2011-03-24 18:00	1893336	----a-w-	c:\programme\Mozilla Firefox\d3dx9_42.dll
2011-03-24 18:00 . 2011-03-24 18:00	1975768	----a-w-	c:\programme\Mozilla Firefox\D3DCompiler_42.dll
2011-03-24 18:00 . 2011-03-24 18:00	142296	----a-w-	c:\programme\Mozilla Firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-09 13:53 . 2008-09-10 12:21	186880	------w-	c:\windows\system32\encdec.dll
2011-02-09 13:53 . 2008-09-10 12:21	270848	------w-	c:\windows\system32\sbe.dll
2011-02-02 19:40 . 2010-07-10 12:08	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-02-02 17:19 . 2008-09-16 14:52	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-02-02 07:58 . 2008-09-10 12:18	2067456	----a-w-	c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2008-09-10 12:18	677888	----a-w-	c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2008-09-10 12:18	440832	----a-w-	c:\windows\system32\shimgvw.dll
2011-03-24 18:00 . 2011-03-24 18:00	142296	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AEIWLSTA.EXE"="AEIWLSTA.EXE START" [X]
"AGRSMMSG"="AGRSMMSG.exe" [2002-01-15 87037]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672]
"AtiPTA"="atiptaxx.exe" [2002-01-18 311296]
"TrackPointSrv"="tp4serv.exe" [2002-01-18 176128]
"TP4EX"="tp4ex.exe" [2002-01-09 53248]
"TPHOTKEY"="c:\progra~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2002-01-28 69632]
"TPTRAY"="c:\progra~1\ThinkPad\UTILIT~1\TP98TRAY.EXE" [2002-02-19 47104]
"BMMGAG"="c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2002-01-14 57856]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2002-01-21 102453]
"EPSON Stylus Photo RX420 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2011-01-21 624056]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2005-6-16 49152]
Wireless LAN Utility.lnk - c:\programme\LevelOne WPC-0301\WlanCU.exe [2007-11-28 626688]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\CounterPath\\X-Lite\\x-lite.exe"=
"c:\\Programme\\Mozilla Thunderbird\\thunderbird.exe"=
"c:\\Dokumente und Einstellungen\\gturetschek\\Anwendungsdaten\\Thunderbird\\Profiles\\uv49z4g6.default\\extensions\\{83d1f945-8280-11db-96a7-00e08161165f}\\spambayes\\win\\sbpython.exe"=
"c:\\IBMTOOLS\\UPDATER\\jre\\bin\\javaw.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\fotobuch.de\\Designer 2.0\\Designer.exe"=
.
R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [09.09.2008 09:18 12288]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.08.2009 16:59 108289]
R3 AEIWL;High Rate Wireless LAN MiniPCI Combo Card Driver;c:\windows\system32\drivers\AEIWLNDS.sys [01.01.1980 50688]
R3 Tp4Track;IBM PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [01.01.1980 13055]
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-08 c:\windows\Tasks\BMMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\Bmmtask.exe [2008-09-09 23:23]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.fbi.h-da.de/
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\gturetschek\Anwendungsdaten\Mozilla\Firefox\Profiles\rz0yswqv.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.fbi.h-da.de/
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-04-09 10:46
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10o_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\¹mÑw*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(924)
c:\windows\SYSTEM32\Wireless\WirelessGina.DLL
.
Zeit der Fertigstellung: 2011-04-09  10:52:48
ComboFix-quarantined-files.txt  2011-04-09 08:52
ComboFix2.txt  2011-04-08 15:21
.
Vor Suchlauf: 123.768.832 Bytes frei
Nach Suchlauf: 112.848.896 Bytes frei
.
- - End Of File - - 862DB9BFA14F5CE7314A8C069DF04261
         

--- --- ---