adspy gen2 und cmdow.exe

Kola · 30.04.2011, 16:35

Hallo,

ein Gast hat sich durch I-Net geklickt und bekam später eine Meldung von Avira:

Hier post von hijjack this und ani-malware:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6478

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

30.04.2011 17:30:57
mbam-log-2011-04-30 (17-30-53).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 165407
Laufzeit: 10 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{84197849-8dd7-41fd-8be1-875764937e5c}\RP8\A0001512.exe (PUP.Tool) -> No action taken.
c:\WINDOWS\system32\cmdow.exe (PUP.Tool) -> No action taken.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6478

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

30.04.2011 17:30:57
mbam-log-2011-04-30 (17-30-53).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 165407
Laufzeit: 10 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{84197849-8dd7-41fd-8be1-875764937e5c}\RP8\A0001512.exe (PUP.Tool) -> No action taken.
c:\WINDOWS\system32\cmdow.exe (PUP.Tool) -> No action taken.

Ich hoffe ihr könnt mir noch einmal helfen

Gruß
Kola

cosinus · 01.05.2011, 16:09

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Kola · 01.05.2011, 16:44

Das war der Log davor, aber nur quickscan!

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6478

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

30.04.2011 16:54:02
mbam-log-2011-04-30 (16-54-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 1120
Laufzeit: 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus · 01.05.2011, 18:46

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Kola · 01.05.2011, 19:10

okay, hier die logs (ps: ich habe bei otl einfach die daten kopiert, eingefügt, quickscan ausgeführt, sonst nichts verändert.

cosinus · 02.05.2011, 10:52

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
FF - prefs.js..network.proxy.backup.ftp: "192.168.0.5"
FF - prefs.js..network.proxy.backup.ftp_port: 21
FF - prefs.js..network.proxy.backup.gopher: "192.168.0.5"
FF - prefs.js..network.proxy.backup.gopher_port: 21
FF - prefs.js..network.proxy.backup.socks: "192.168.0.5"
FF - prefs.js..network.proxy.backup.socks_port: 21
FF - prefs.js..network.proxy.backup.ssl: "192.168.0.5"
FF - prefs.js..network.proxy.backup.ssl_port: 21
FF - prefs.js..network.proxy.ftp: "192.168.0.10"
FF - prefs.js..network.proxy.ftp_port: 21
FF - prefs.js..network.proxy.gopher: "192.168.0.10"
FF - prefs.js..network.proxy.gopher_port: 21
FF - prefs.js..network.proxy.http: "192.168.0.10"
FF - prefs.js..network.proxy.http_port: 21
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "192.168.0.10"
FF - prefs.js..network.proxy.socks_port: 21
FF - prefs.js..network.proxy.socks_version: 4
FF - prefs.js..network.proxy.ssl: "192.168.0.10"
FF - prefs.js..network.proxy.ssl_port: 21
FF - prefs.js..network.proxy.type: 0
[2011.04.12 21:34:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2011.04.05 21:29:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Kola · 02.05.2011, 17:41

Gut, hier der Log:

All processes killed
========== OTL ==========
Prefs.js: "192.168.0.5" removed from network.proxy.backup.ftp
Prefs.js: 21 removed from network.proxy.backup.ftp_port
Prefs.js: "192.168.0.5" removed from network.proxy.backup.gopher
Prefs.js: 21 removed from network.proxy.backup.gopher_port
Prefs.js: "192.168.0.5" removed from network.proxy.backup.socks
Prefs.js: 21 removed from network.proxy.backup.socks_port
Prefs.js: "192.168.0.5" removed from network.proxy.backup.ssl
Prefs.js: 21 removed from network.proxy.backup.ssl_port
Prefs.js: "192.168.0.10" removed from network.proxy.ftp
Prefs.js: 21 removed from network.proxy.ftp_port
Prefs.js: "192.168.0.10" removed from network.proxy.gopher
Prefs.js: 21 removed from network.proxy.gopher_port
Prefs.js: "192.168.0.10" removed from network.proxy.http
Prefs.js: 21 removed from network.proxy.http_port
Prefs.js: true removed from network.proxy.share_proxy_settings
Prefs.js: "192.168.0.10" removed from network.proxy.socks
Prefs.js: 21 removed from network.proxy.socks_port
Prefs.js: 4 removed from network.proxy.socks_version
Prefs.js: "192.168.0.10" removed from network.proxy.ssl
Prefs.js: 21 removed from network.proxy.ssl_port
Prefs.js: 0 removed from network.proxy.type
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}\x86\x86 folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}\x86 folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86 folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 17489741 bytes
->Temporary Internet Files folder emptied: 3598969 bytes
->Java cache emptied: 731830 bytes
->FireFox cache emptied: 46425720 bytes
->Flash cache emptied: 20302 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1745533 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16619 bytes
RecycleBin emptied: 3735918923 bytes

Total Files Cleaned = 3.630,00 mb

OTL by OldTimer - Version 3.2.22.3 log created on 05022011_183728

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus · 02.05.2011, 19:28

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )

Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Kola · 02.05.2011, 20:01

Bitte schön, hier ist Log:

cosinus · 02.05.2011, 20:43

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Kola · 04.05.2011, 13:26

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-05-03.04 - Administrator 04.05.2011  14:04:34.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-04-04 bis 2011-05-04  ))))))))))))))))))))))))))))))
.
.
2011-05-04 11:49 . 2011-05-04 11:49	--------	d-----w-	c:\programme\CCleaner
2011-05-03 04:36 . 2011-05-03 04:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2011-05-02 16:37 . 2011-05-02 16:37	--------	d-----w-	C:\_OTL
2011-04-30 14:48 . 2011-04-30 14:48	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2011-04-30 14:48 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-30 14:48 . 2011-04-30 14:48	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-04-30 14:48 . 2011-04-30 14:48	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-04-30 14:48 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-30 14:26 . 2011-04-30 14:32	--------	d-----w-	c:\windows\system32\NtmsData
2011-04-27 18:43 . 2005-09-20 08:36	155648	----a-w-	c:\windows\system32\igfxres.dll
2011-04-26 15:34 . 2011-04-26 15:34	--------	d-----w-	c:\dokumente und einstellungen\Administrator\.tuxguitar-1.2
2011-04-26 15:33 . 2011-04-26 15:34	--------	d-----w-	c:\programme\TuxGuitar
2011-04-17 17:00 . 2011-04-17 17:01	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\elsterformular
2011-04-17 17:00 . 2011-04-17 17:00	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\elsterformular
2011-04-12 19:33 . 2011-04-12 19:33	--------	d-----w-	c:\programme\iPod
2011-04-12 19:33 . 2011-04-12 19:34	--------	d-----w-	c:\programme\iTunes
2011-04-12 19:28 . 2011-04-12 19:28	--------	d-----w-	c:\programme\Apple Software Update
2011-04-12 19:25 . 2011-04-12 19:25	--------	d-----w-	c:\programme\Bonjour
2011-04-12 11:44 . 2011-04-12 11:44	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities
2011-04-11 17:28 . 2011-04-11 17:30	--------	d-----w-	c:\dokumente und einstellungen\Administrator\.easyxmleditor
2011-04-11 17:28 . 2011-04-11 17:50	--------	d-----w-	c:\programme\Easy XML Editor
2011-04-11 17:13 . 2011-04-11 17:13	--------	d-----w-	c:\programme\NAVIGON
2011-04-06 18:00 . 2004-08-03 22:57	159232	----a-w-	c:\windows\system32\ptpusd.dll
2011-04-06 18:00 . 2001-08-18 02:54	5632	----a-w-	c:\windows\system32\ptpusb.dll
2011-04-05 19:30 . 2011-04-12 19:52	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Apple Computer
2011-04-05 19:29 . 2009-05-18 11:17	26600	----a-w-	c:\windows\system32\drivers\GEARAspiWDM.sys
2011-04-05 19:29 . 2008-04-17 10:12	107368	----a-w-	c:\windows\system32\GEARAspi.dll
2011-04-05 19:28 . 2011-04-05 19:28	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Apple
2011-04-05 19:28 . 2011-04-12 19:34	--------	dc----w-	c:\windows\system32\DRVSTORE
2011-04-05 19:28 . 2009-10-16 00:33	41472	----a-w-	c:\windows\system32\drivers\usbaapl.sys
2011-04-05 19:28 . 2009-10-16 00:33	3003680	----a-w-	c:\windows\system32\usbaaplrc.dll
2011-04-05 19:27 . 2011-04-12 19:33	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2011-04-05 19:26 . 2011-04-05 19:30	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Apple Computer
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-20 17:43 . 2011-03-20 17:43	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-03-20 17:43 . 2011-03-20 17:43	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-03-07 02:08 . 2011-03-07 02:08	93552	----a-w-	c:\windows\system32\ElbyCDIO.dll
2011-03-07 00:52 . 2011-03-07 00:52	134512	----a-w-	c:\windows\system32\ElbyVCD.dll
2011-03-04 15:11 . 2011-03-20 17:49	137656	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-03-04 13:36 . 2011-03-20 17:49	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SandboxieControl"="c:\programme\Sandboxie\SbieCtrl.exe" [2011-01-12 405736]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-03-04 281768]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2005-10-10 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
2007-04-03 16:50	1603152	----a-w-	c:\programme\Canon\MyPrinter\BJMYPRT.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-03-25 23:10	142120	----a-w-	c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53	421888	----a-w-	c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 10:44	248552	----a-w-	c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
2011-03-07 13:33	89456	----a-w-	c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"JavaQuickStarterService"=2 (0x2)
"TUWinStylerThemeSvc"=3 (0x3)
"ose"=3 (0x3)
"iPod Service"=3 (0x3)
"Bonjour Service"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.03.2011 19:49 136360]
S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 11:58 11336]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\f:\everestportable\App\EverestUltimate\kerneld.wnt --> f:\everestportable\App\EverestUltimate\kerneld.wnt [?]
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-22 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-17 21:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.facemoods.com/?a=ddr
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\u5hraos5.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/firefox
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-Cmaudio - cmicnfg.cpl
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-04 14:09
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\f:\everestportable\App\EverestUltimate\kerneld.wnt"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(580)
c:\windows\system32\sfc_os.dll
.
Zeit der Fertigstellung: 2011-05-04  14:10:57
ComboFix-quarantined-files.txt  2011-05-04 12:10
.
Vor Suchlauf: 7 Verzeichnis(se), 129.128.964.096 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 129.100.111.872 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
C:\wubildr.mbr = "Ubuntu"
.
- - End Of File - - 0131B4D016B9FB80559CE6D7BDD8B202

--- --- ---

cosinus · 04.05.2011, 13:57

Zitat:

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

Warum gurkst du eigentlich noch mit SP2 und IE6 rum?

Das ist mega riskant, da dieser Patchstand völlig veraltet ist! Ich poste später was dazu, wie du am besten auf SP3/IE8 updatest.

Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur wenige Sekunden.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Kola · 04.05.2011, 16:06

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15627 - hxxp://www.gmer.net
Rootkit scan 2011-05-04 17:05:31
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5 WDC_WD1600JS-00NCB1 rev.10.02E02
Running: u7lxwcv5.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kxtdipow.sys


---- System - GMER 1.0.15 ----

SSDT   F8B9B23E                                  ZwCreateKey
SSDT   F8B9B234                                  ZwCreateThread
SSDT   F8B9B243                                  ZwDeleteKey
SSDT   F8B9B24D                                  ZwDeleteValueKey
SSDT   F8B9B252                                  ZwLoadKey
SSDT   F8B9B220                                  ZwOpenProcess
SSDT   F8B9B225                                  ZwOpenThread
SSDT   F8B9B25C                                  ZwReplaceKey
SSDT   F8B9B257                                  ZwRestoreKey
SSDT   F8B9B248                                  ZwSetValueKey

Code   F8BBCC9C                                  ZwRequestPort
Code   F8BBCD3C                                  ZwRequestWaitReplyPort
Code   F8BBCBFC                                  ZwTraceEvent
Code   F8BBCC9B                                  NtRequestPort
Code   F8BBCD3B                                  NtRequestWaitReplyPort
Code   F8BBCBFB                                  NtTraceEvent

---- Kernel code sections - GMER 1.0.15 ----

.text  ntoskrnl.exe!NtTraceEvent                 80544D98 5 Bytes  JMP F8BBCC00 
PAGE   ntoskrnl.exe!NtRequestWaitReplyPort       80576EBA 5 Bytes  JMP F8BBCD40 
PAGE   ntoskrnl.exe!NtRequestPort                805DC8EA 5 Bytes  JMP F8BBCCA0 
.text  win32k.sys!EngAcquireSemaphore + 16A8     BF8085EC 5 Bytes  JMP F8BBC480 
.text  win32k.sys!EngFreeUserMem + 4248          BF80F6E5 5 Bytes  JMP F8BBC3E0 
.text  win32k.sys!BRUSHOBJ_pvAllocRbrush + 3228  BF81E155 5 Bytes  JMP F8BBCA20 
.text  win32k.sys!EngPaint + 4F1                 BF82CB8D 5 Bytes  JMP F8BBC5C0 
.text  win32k.sys!CLIPOBJ_bEnum + 298C           BF83938A 5 Bytes  JMP F8BBC700 
.text  win32k.sys!EngUnicodeToMultiByteN + DB6   BF858BB5 5 Bytes  JMP F8BBC660 
.text  win32k.sys!EngGradientFill + 189B         BF899505 5 Bytes  JMP F8BBC8E0 
.text  win32k.sys!EngGradientFill + 3075         BF89ACDF 5 Bytes  JMP F8BBC520 
.text  win32k.sys!EngAlphaBlend + 4C65           BF8C3DC7 5 Bytes  JMP F8BBC7A0 
.text  win32k.sys!PATHOBJ_bCloseFigure + 445F    BF8EC182 5 Bytes  JMP F8BBC980 
.text  win32k.sys!EngCreateClip + 1994           BF911BC0 5 Bytes  JMP F8BBCAC0 
.text  win32k.sys!EngCreateClip + 1F24           BF912150 5 Bytes  JMP F8BBCB60 
.text  win32k.sys!EngCreateClip + 256A           BF912796 5 Bytes  JMP F8BBC840 

---- EOF - GMER 1.0.15 ----

--- --- ---

Kola · 04.05.2011, 16:12

OSAM Logfile:

Code:

ATTFilter

Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 17:10:51 on 04.05.2011

OS: Windows XP Professional Service Pack 2 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.6.15

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"1-Klick-Wartung.job" - "TuneUp Software GmbH" - C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"ac3filter.cpl" - ? - C:\WINDOWS\system32\ac3filter.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"cpudrv" (cpudrv) - ? - C:\Programme\SystemRequirementsLab\cpudrv.sys  (File found, but it contains no detailed information)
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"kxtdipow" (kxtdipow) - ? - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kxtdipow.sys  (Hidden registry entry, rootkit activity | File not found)
"Lavalys EVEREST Kernel Driver" (EverestDriver) - ? - F:\EverestPortable\App\EverestUltimate\kerneld.wnt  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"SbieDrv" (SbieDrv) - "SANDBOXIE L.T.D" - C:\Programme\Sandboxie\SbieDrv.sys
"Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys  (File signed by Microsoft | File found, but it contains no detailed information)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"VClone" (VClone) - "Elaborate Bytes AG" - C:\WINDOWS\System32\DRIVERS\VClone.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A} "PXCInfoShlExt Class" - "Tracker Software Products Ltd." - C:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{CF822AB4-6DB5-4FDA-BC28-E61DF36D2583} "PDF-XChange PDF Preview Provider" - "Tracker Software Products Ltd." - C:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll
{67EB453C-1BE1-48EC-AAF3-23B10277FCC1} "PDF-XChange PDF Property Handler" - "Tracker Software Products Ltd." - C:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll
{EBD0B8F4-A9A0-41B7-9695-030CD264D9C8} "PDF-XChange PDF Thumbnail Provider" - "Tracker Software Products Ltd." - C:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll
{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A} "PXCInfoShlExt Class" - "Tracker Software Products Ltd." - C:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll
{5B043439-4F53-436E-8CFE-28F80934DBE6} "PXCPreviewHandlerXP Class" - "Tracker Software Products Ltd." - C:\Programme\Tracker Software\Shell Extensions\PXCPrevHost.exe
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} "TuneUp Shredder Shell Context Menu Extension" - ? -   (File not found | COM-object registry key not found)
{B7056B8E-4F99-44f8-8CBD-282390FE5428} "VirtualCloneDrive Shell Extension" - "Elaborate Bytes AG" - C:\Programme\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"SandboxieControl" - "SANDBOXIE L.T.D" - "C:\Programme\Sandboxie\SbieCtrl.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"iPod Service" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe
"Sandboxie Service" (SbieSvc) - "SANDBOXIE L.T.D" - C:\Programme\Sandboxie\SbieSvc.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll

===[ Logfile end ]=========================================[ Logfile end ]===

--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

cosinus · 04.05.2011, 16:20

Ok. Und MBRCheck?

01.05.2011, 16:09	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	adspy gen2 und cmdow.exe Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind. __________________ __________________

04.05.2011, 16:20	#15
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	adspy gen2 und cmdow.exe Ok. Und MBRCheck? __________________ Logfiles bitte immer in CODE-Tags posten

adspy gen2 und cmdow.exe

Plagegeister aller Art und deren Bekämpfung: adspy gen2 und cmdow.exe