Windows recovery Malware

notify · 08.05.2011, 16:33

Hallo markusg,

anbei die combofix log

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-05-07.02 - Prosch 08.05.2011  17:19:36.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2046.1526 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Prosch\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
PEV Error: AppFolder
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\Adobe\plugs
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\Adobe\plugs\mmc4647281.txt
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\Adobe\shed
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\Adobe\shed\thr1.chm
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\Prosch\Anwendungsdaten\PriceGong\Data\z.xml
c:\dokumente und einstellungen\Prosch\Lokale Einstellungen\Anwendungsdaten\{5382A954-42D5-4AFF-B0D8-7F8EE16CBFCB}
c:\dokumente und einstellungen\Prosch\Lokale Einstellungen\Anwendungsdaten\{5382A954-42D5-4AFF-B0D8-7F8EE16CBFCB}\chrome.manifest
c:\dokumente und einstellungen\Prosch\Lokale Einstellungen\Anwendungsdaten\{5382A954-42D5-4AFF-B0D8-7F8EE16CBFCB}\chrome\content\_cfg.js
c:\dokumente und einstellungen\Prosch\Lokale Einstellungen\Anwendungsdaten\{5382A954-42D5-4AFF-B0D8-7F8EE16CBFCB}\chrome\content\overlay.xul
c:\dokumente und einstellungen\Prosch\Lokale Einstellungen\Anwendungsdaten\{5382A954-42D5-4AFF-B0D8-7F8EE16CBFCB}\install.rdf
c:\dokumente und einstellungen\Prosch\WINDOWS
c:\programme\Setup.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-04-08 bis 2011-05-08  ))))))))))))))))))))))))))))))
.
.
2011-05-08 14:15 . 2011-05-08 14:15	--------	d-----r-	c:\dokumente und einstellungen\NetworkService\Favoriten
2011-05-08 09:15 . 2011-05-08 09:15	--------	d-----w-	c:\dokumente und einstellungen\Prosch\Anwendungsdaten\SUPERAntiSpyware.com
2011-05-08 09:15 . 2011-05-08 09:15	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2011-05-08 09:15 . 2011-05-08 09:15	--------	d-----w-	c:\programme\SUPERAntiSpyware
2011-05-08 09:06 . 2011-05-08 09:09	--------	d-----w-	c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2011-05-08 08:44 . 2011-05-08 08:44	--------	d-----w-	c:\dokumente und einstellungen\Prosch\Anwendungsdaten\Malwarebytes
2011-05-08 08:44 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-08 08:44 . 2011-05-08 08:44	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-05-08 08:44 . 2011-05-08 08:44	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-05-08 08:44 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-05-07 23:05 . 2011-05-07 23:05	--------	d--h--r-	c:\dokumente und einstellungen\LocalService\Favoriten
2011-05-07 23:05 . 2011-05-07 23:05	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2011-05-07 21:15 . 2011-05-07 22:28	0	---ha-w-	c:\windows\Ifavesuzupijafer.bin
2011-04-13 22:40 . 2011-04-13 22:40	4284416	---ha-w-	c:\windows\system32\GPhotos.scr
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-16 18:07 . 2009-03-19 18:18	137656	---ha-w-	c:\windows\system32\drivers\avipbb.sys
2008-05-29 20:33 . 2008-05-29 20:33	4375552	---ha-w-	c:\programme\openofficeorg24.msi
2002-03-11 09:06 . 2002-03-11 09:06	1822520	---ha-w-	c:\programme\instmsiw.exe
2002-03-11 08:45 . 2002-03-11 08:45	1708856	---ha-w-	c:\programme\instmsia.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2011-05-04 2424192]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2007-12-05 81920]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-11 281768]
"D-Link AirPlus G"="c:\programme\D-Link\AirPlus G\AirGCFG.exe" [2006-11-17 1552384]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2006-06-29 49152]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-06 413696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2011-01-22 40368]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"P17RunE"="P17RunE.dll" [2007-04-09 14848]
"P17Helper"="SPIRun.dll" [2006-07-03 10752]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 1 (0x1)
"MemCheckBoxInRunDlg"= 0 (0x0)
"NoResolveTrack"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)
"NoRecentDocsNetHood"= 1 (0x1)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21	548352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Anno 1701\\Anno1701.exe"=
"c:\\Programme\\Anno 1701\\Anno1701AddOn.exe"=
"c:\\Programme\\Gamers.IRC\\mirc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Ubisoft\\Related Designs\\ANNO 1404\\Anno4.exe"=
"c:\\Programme\\Ubisoft\\Related Designs\\ANNO 1404\\tools\\Anno4Web.exe"=
"c:\\Programme\\Microsoft Games\\Age of Empires III\\age3.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\notify\\half-life\\hl.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\notify\\counter-strike\\hl.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\common\\fallout new vegas\\FalloutNVLauncher.exe"=
"c:\\Programme\\ICQ7.4\\ICQ.exe"=
.
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 20:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [10.05.2010 20:41 67656]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.03.2009 20:18 136360]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [13.11.2009 13:31 92008]
S3 dc3d;MS Hardware Device Detection Driver (USB);c:\windows\system32\drivers\dc3d.sys [01.10.2010 21:37 44432]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Prosch\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\programme\ICQ7.4\ICQ.exe
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1205693793
FF - ProfilePath - c:\dokumente und einstellungen\Prosch\Anwendungsdaten\Mozilla\Firefox\Profiles\n41fizmn.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 64283
FF - prefs.js: network.proxy.type - 1
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - c:\programme\DivX\DivXCodecUninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-08 17:26
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  P17Helper = Rundll32 SPIRun.dll,RunDLLEntry? 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_HD250HJ rev.FH100-06 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 
.
device: opened successfully
user: MBR read successfully
error: Read  Ein an das System angeschlossenes Gerät funktioniert nicht.
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x8A56331B
user & kernel MBR OK 
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(744)
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
Zeit der Fertigstellung: 2011-05-08  17:30:46
ComboFix-quarantined-files.txt  2011-05-08 15:30
.
Vor Suchlauf: 1 Verzeichnis(se), 132.188.897.280 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 132.554.706.944 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
.
- - End Of File - - E19F208C8CF19ED15B0BEAD38A5580EF

--- --- ---

Windows recovery Malware

Log-Analyse und Auswertung: Windows recovery Malware

Windows recovery Malware

Ähnliche Themen: Windows recovery Malware