Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Sasser, Blaster, systemneustart und sich trennende Inetverbindung (https://www.trojaner-board.de/49272-sasser-blaster-systemneustart-trennende-inetverbindung.html)

Gojim 09.02.2008 22:54
Sasser, Blaster, systemneustart und sich trennende Inetverbindung
 
Hallo,
auch ich bitte nun mal um eine Auswertung meines Logfiles.
Habe mir nach einem Download nen Wurm eingefangen welcher jedesmal einen Systemneustart erzwingt. Symantec Fixtools für Blast- und Sasserwurm haben nichts entdeckt.

Außerdem und das liegt nun aktueller, habe ich öfters und vor allem jetzt Schwierigkeiten mit meiner Inet Verbindung. In unregelmäßigen Abständen muß mein Router die Verbindung wiederherstellen und kann zeitweise minutenlang nicht ins Netz.

Nundenn hier mein Logfile:pukeface: und Danke im Voraus

Logfile of HijackThis v1.99.1
Scan saved at 22:35:02, on 09.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Mozilla Firefox\firefox.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-ABCD-7DD20B8622FF} - C:\Programme\Helper\1202420778.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1173891265187
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winzoa32 - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: WinMain - {C231CF11-134F-3552-44AC-E685D962C63C} - C:\WINDOWS\system32\adduser32.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)


Vielen Dank für die Mühe

11Boy11 10.02.2008 00:54
Hi,

zuerst räumen wir mal ein bisschen auf. Öffne dazu HijackThis, klicke auf "scan" und mache vor folgende Einträge ein häckchen:

Zitat:
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-ABCD-7DD20B8622FF} - C:\Programme\Helper\1202420778.dll (file missing)

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)

O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - h**p://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
Nun auf "Fix checked" klicken und PC neustarten.

2. Bitte folgende Datei bei VirusTotal auswerten, und den Bericht posten.

Zitat:
C:\WINDOWS\system32\WPDShServiceObj.dll
3. eScan & Combofix durchlaufen lassen, und Berichte posten!

KarlKarl 10.02.2008 01:08
Hi,

da hast Du beim Kopieren die falsche O21-Zeile erwischt, WPDShServiceObj.dll ist ok. Hier liegt die Unbekannte: C:\WINDOWS\system32\adduser32.dll

Gruß, Karl

11Boy11 10.02.2008 11:19
Oh stimmt, danke. :daumenhoc

@gojim - Dann doch bitte diese Datei bei VirusTotal auswerten.
Zitat:
C:\WINDOWS\system32\adduser32.dll

Gojim 10.02.2008 16:00
mmmkkaayy...

ich finde
C:\WINDOWS\system32\adduser32.dll
nicht. Weder per Suche noch manuell...

die anderen 5 Files habe ich gelöscht per Hijackthis

E-Scan:
Sun Feb 10 13:39:06 2008 => ***** Scan vollständig. *****

Sun Feb 10 13:39:06 2008 => Gescannte Dateien: 239828
Sun Feb 10 13:39:06 2008 => Gefundene Viren: 38
Sun Feb 10 13:39:06 2008 => Anzahl der desinfizierten Dateien: 0
Sun Feb 10 13:39:06 2008 => Umbenannte Dateien: 0
Sun Feb 10 13:39:06 2008 => Anzahl der gelöschten Dateien: 0
Sun Feb 10 13:39:06 2008 => Anzahl Fehler: 1341
Sun Feb 10 13:39:06 2008 => Dauer des Scans bisher: 02:30:55
Sun Feb 10 13:39:06 2008 => Virus-Datenbank Datum: 1/31/2008
Sun Feb 10 13:39:06 2008 => Virus-Datenbank Zähler: 540183

Sun Feb 10 13:39:06 2008 => Scan vollständig.

Combofix ist da sone Sache, wollt ihr das ganze Log sehen?
Hier erst mal Auszüge

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))

C:\Programme\Helper
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\create.exe
C:\WINDOWS\system32\taskmgr.com

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

Was tun?
lg Jan

11Boy11 10.02.2008 20:25
Zitat:
wollt ihr das ganze Log sehen?
Ja, aber auch von eScan. Der Bericht von eScan ist nämlich auch nicht vollständig.

Gojim 11.02.2008 17:22
mkay, hier schon mal Combofix von letztem Sonntag



ComboFix 08-02.05.3 - Jan Langguth 2008-02-10 15:35:31.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1447 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Jan Langguth\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Helper
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\create.exe
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-10 bis 2008-02-10 ))))))))))))))))))))))))))))))
.

2008-02-10 14:51 . 2008-02-10 15:16 <DIR> d-------- C:\d3temp
2008-02-10 11:16 . 2008-02-10 11:16 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-02-10 11:16 . 2008-02-10 11:16 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-02-10 11:16 . 2008-02-10 11:16 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-02-10 11:16 . 2008-02-10 11:16 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-02-10 11:16 . 2008-02-10 11:16 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-02-10 11:16 . 2008-02-10 11:16 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-02-10 11:06 . 2004-08-04 13:00 153,600 --a------ C:\WINDOWS\R.COM
2008-02-10 11:06 . 2004-08-04 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-02-10 11:06 . 2008-02-10 11:06 26 --a------ C:\WINDOWS\Lic.xxx
2008-02-08 12:57 . 2008-02-08 12:57 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-02-07 22:46 . 2008-02-07 22:46 28,672 --a------ C:\WINDOWS\system32\drivers\smss.exe
2008-02-07 22:46 . 2008-02-07 22:46 16,384 --a------ C:\WINDOWS\system32\mmmknlkn.dll
2008-02-07 22:46 . 2008-02-07 22:46 16,384 --a------ C:\WINDOWS\system32\mmmjkojk.dll
2008-02-07 22:45 . 2008-02-07 22:45 54,764 --a------ C:\WINDOWS\system32\4fdw.dll
2008-02-07 22:45 . 2008-02-07 22:45 16,384 --a------ C:\WINDOWS\system32\mmmxrwxr.dll
2008-02-07 22:45 . 2008-02-07 22:45 16,384 --a------ C:\WINDOWS\system32\mmmxolxo.dll
2008-02-07 22:45 . 2008-02-07 22:45 16,384 --a------ C:\WINDOWS\system32\mmmfknfk.dll
2008-02-07 22:45 . 2008-02-07 22:46 2 --a------ C:\148421508
2008-02-07 21:17 . 2008-02-07 21:17 <DIR> d-------- C:\Programme\Activision
2008-02-06 20:37 . 2008-02-06 20:37 <DIR> d-------- C:\Dokumente und Einstellungen\Jan Langguth\Anwendungsdaten\InstallShield Installation Information
2008-02-06 20:24 . 2008-02-06 20:24 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2008-02-06 20:24 . 2008-02-07 20:57 <DIR> d-------- C:\Programme\Unreal Tournament 3
2008-02-06 20:24 . 2008-02-06 20:24 <DIR> d-------- C:\Programme\AGEIA Technologies
2008-02-06 20:24 . 2007-07-19 18:14 3,727,720 --a------ C:\WINDOWS\system32\d3dx9_35.dll
2008-02-06 20:24 . 2007-07-19 18:14 1,358,192 --a------ C:\WINDOWS\system32\D3DCompiler_35.dll
2008-02-06 20:24 . 2007-07-19 18:14 444,776 --a------ C:\WINDOWS\system32\d3dx10_35.dll
2008-02-06 20:23 . 2008-02-06 20:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-01 15:06 . 2008-02-07 23:19 <DIR> d-------- C:\Dokumente und Einstellungen\Jan Langguth\Anwendungsdaten\BearShare
2008-02-01 15:05 . 2008-02-01 15:05 <DIR> d-------- C:\Programme\BearShare Applications
2008-01-30 21:19 . 2008-01-30 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\Jan Langguth\Anwendungsdaten\ICQ Toolbar
2008-01-19 01:59 . 2008-02-07 21:28 311 --a------ C:\WINDOWS\game.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-10 09:35 --------- d-----w C:\Programme\Steam
2008-02-10 09:35 --------- d-----w C:\Dokumente und Einstellungen\Jan Langguth\Anwendungsdaten\OpenOffice.org2
2008-02-09 22:01 --------- d-----w C:\Dokumente und Einstellungen\Jan Langguth\Anwendungsdaten\AVG7
2008-02-07 20:28 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-06 15:52 1,012 ----a-w C:\Dokumente und Einstellungen\Jan Langguth\Anwendungsdaten\wklnhst.dat
2008-02-03 13:00 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-02-03 13:00 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-01-21 16:38 --------- d-----w C:\Programme\DOSBox-0.72
2008-01-14 16:36 --------- d-----w C:\Dokumente und Einstellungen\Jan Langguth\Anwendungsdaten\Bioshock
2008-01-04 10:52 --------- d-----w C:\Programme\Gemeinsame Dateien\SWF Studio
2007-12-21 20:33 --------- d-----w C:\Programme\BearFlix
2007-12-21 20:30 --------- d-----w C:\Programme\BearShare
2007-12-13 21:34 413,696 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2007-12-13 21:34 110,592 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2007-12-13 21:34 --------- d-----w C:\Programme\OpenAL
2007-12-10 21:52 --------- d-----w C:\Programme\TrueCrypt
2007-11-29 19:04 12,374,767 ------w C:\avg7qt.dat
2006-05-10 15:25 8,282,187 ----a-w C:\Programme\vlc-0.8.5-win32.exe
2006-04-04 20:11 10,763 ----a-w C:\Programme\manual.html
2006-04-04 20:05 24,576 ----a-w C:\Programme\memtest.exe
2004-07-26 01:16 1,117,491 ----a-w C:\Programme\dvdshrink32setup.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"Steam"="c:\programme\steam\steam.exe" [2007-11-30 11:56 1266936]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2006-11-12 11:48 157592]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-01-24 15:46 15691264 C:\WINDOWS\RTHDCPL.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-28 23:43 8466432]
"nwiz"="nwiz.exe" [2007-06-28 23:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-19 18:35 579072]
"VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 14:21 94208]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"UpdReg"="C:\WINDOWS\Updreg.exe" [2000-05-11 00:00 90112]
"AHQInit"="C:\Programme\Creative\SBLive\Program\AHQInit.exe" [2001-05-10 17:49 102400]
"Disc Detector"="C:\Programme\Creative\ShareDLL\CtNotify.exe" [1999-08-30 00:55 189952]
"AudioHQ"="C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE" [2001-08-17 17:01 180224]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-28 23:43 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-24 15:35 219136]

C:\Dokumente und Einstellungen\Jan Langguth\Startmen\Programme\Autostart\
OpenOffice.org 2.2.lnk - C:\Programme\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 15:54:56 393216]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"WinMain"= {C231CF11-134F-3552-44AC-E685D962C63C} - C:\WINDOWS\system32\adduser32.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzoa32]

R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2006-04-04 15:31]
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2006-04-04 15:31]
R3 Tetris;Tetris driver;C:\WINDOWS\system32\Drivers\Tetris.sys [2006-04-03 16:43]
S2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys [2005-04-14 16:42]
S2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys [2005-04-14 16:42]
S3 gAGP440p;gAGP440p;C:\DOKUME~1\JANLAN~1\LOKALE~1\Temp\gAGP440p.sys []
S3 OMNUSB;Omnikey AG CardMan 2020-Smartcard-Leser (USB);C:\WINDOWS\system32\DRIVERS\sccmusbm.sys [2001-08-17 12:51]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{258f44b0-a582-11dc-8a49-0014856d8bf1}]
\Shell\AutoRun\command - M:\Torpark.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B00A94E6-A600-B2A3-DFE9-E7040600DD26}]
C:\WINDOWS\scvhost.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-10 15:38:44
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Disc Detector = C:\Programme\Creative\ShareDLL\CtNotify.exe? ??X???v???????????? C?????Disc Detector?B???A???????A?0 ????B???@?$?@?? C?????U?@?????????@?B???A???????A?p ????B???@?????P???$?@? ????????6~??????????@?y?????????????????B?????| ????????????????????????????B

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-10 15:39:15
ComboFix-quarantined-files.txt 2008-02-10 14:39:07
.
2008-01-09 21:53:40 --- E O F ---

E-Scan folgt...

Gojim 11.02.2008 17:52
:confused:
mmmhh... kann außer dem "Protokoll" keine Art von Log beim E-Scan finden. Und das ausgespuckte Ergebnis im Fenster kann ich nicht rüberkopieren. Sollte E-Sacn nicht eine Log File bilden?
Also hier auch das gesamte Protokoll mit rinne?

nochdigger 11.02.2008 17:53
Hallo

es scheint als sei dieser hier
WINZOA32.DLL, Spyware Remove
in deinem System aktiv (gewesen).
Hinzu kommt wohl noch dieser
W32/SillyFDC-Y - Worm - Sophos threat analysis
zu deinem Vundo, wenn man jetzt noch weiter bohren würde, wer weiß was da noch alles zukommt...
Ich rate dir folge dieser Anleitung
Neuaufsetzen des Systems und anschliessende Absicherung!

Auch solltest du bevor du deine Wechseldatenträger ans frische System anklemmst diese gelöscht oder besser Formatiert haben, da sich der eine o.g. Schädling über diese weiterverbreitet.
Du kannst diesen "Autostart" verhindern indem du die Shifttaste gedrückt hälst während du das Gerät anpinnst.

Ändere nach der Neuinstallation unbedingt alle deine Pass- und Kennwörter.

MFG

Gojim 11.02.2008 20:04
Joa, wär wohl das vernünftigste. Erst mal vielen Dank für die Zeit und Unterstützung:bussi:.
Alles Gute bis erstmal.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131