Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Mein HIJ Liste (anmerkung: Hab evtl 11 verschiedene trojaner und Co.) (https://www.trojaner-board.de/52183-hij-liste-anmerkung-hab-evtl-11-verschiedene-trojaner-co.html)

myrtille 08.05.2008 22:15
Hi,

ich bin die offizielle Vertretung ;) Sorry, dass das länger gedauert hat.

Das sieht noch nicht so aus, wie wir es haben wollen.
Arbeite daher bitte folgendes ab:

ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen.

lg myrtille

Speshl K. 09.05.2008 07:29
Die combofix.txt öffnet sich nicht.
Liegt es evtl daran, das sich Steam und Co. beim neustart von alleine öffnen? MSN und ICQ habe ich schon aus. Nur bei Steam und und einem anderen Prog geht das irgendwie nicht....

myrtille 09.05.2008 07:36
Hi,
du findest die ComboFix.txt unter C:\ComboFix.txt.

Öffnet sich denn nur die Datei nicht, oder läuft ComboFix nicht richtig durch`?

lg myrtille

Speshl K. 09.05.2008 10:06
CComboFix war dann weg. nur die txt war nicht da....

myrtille 09.05.2008 10:18
Zitat:
Zitat von Speshl K. (Beitrag 337277)
CComboFix war dann weg. nur die txt war nicht da....
Wie bitte?

Du hast Combofix ausgeführt? Es hat die verschiedenen Schritte durchlaufen? Deinen Rechner neugestartet?
Ist es abgestürzt? Gab es eine Fehlermeldung? Oder ist es problemlos durchgelaufen?

Gibt es den Bericht unter C:\ComboFix.txt oder nicht? Ich möchte wissen ob ComboFix Dateien gelöscht hat oder nicht.
Letzendlich ist der Bericht nicht mal soo wichtig, wenn sichergestellt werden kann, dass das Programm richtig durchgelaufen ist.

lg myrtille

Speshl K. 09.05.2008 10:59
Also das programm ist beim 2. versuch normal durchgelaufen und hat mir die txt auch ausgespuckt (anbei)
beim erstenmal saß ich nicht dabei....hat mir zu lange gedauert und ich musste noch zu meinem anwalt...
naja. da hatte es mir die txt halt nicht gegeben

combofix.txt:
ComboFix 08-05-08.1 - Vincent 2008-05-09 11:16:22.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1568 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Vincent\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\cookies.ini
C:\WINDOWS\privacy_danger
C:\WINDOWS\privacy_danger\images\capt.gif
C:\WINDOWS\privacy_danger\images\danger.jpg
C:\WINDOWS\privacy_danger\images\down.gif
C:\WINDOWS\privacy_danger\images\spacer.gif
C:\WINDOWS\system32\gjkSAcfe.ini
C:\WINDOWS\system32\gjkSAcfe.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-09 bis 2008-05-09 ))))))))))))))))))))))))))))))
.

2008-05-09 11:13 . 2008-05-09 11:13 268 --ah----- C:\sqmdata06.sqm
2008-05-09 11:13 . 2008-05-09 11:13 244 --ah----- C:\sqmnoopt06.sqm
2008-05-09 08:34 . 2008-05-09 08:34 268 --ah----- C:\sqmdata05.sqm
2008-05-09 08:34 . 2008-05-09 08:34 244 --ah----- C:\sqmnoopt05.sqm
2008-05-09 08:15 . 2008-05-09 08:15 <DIR> d-------- C:\WINDOWS\system32\xircom
2008-05-09 08:15 . 2008-05-09 08:15 <DIR> d-------- C:\Programme\microsoft frontpage
2008-05-09 08:14 . 2008-05-09 08:14 268 --ah----- C:\sqmdata04.sqm
2008-05-09 08:14 . 2008-05-09 08:14 244 --ah----- C:\sqmnoopt04.sqm
2008-05-09 08:05 . 2008-05-09 08:05 <DIR> d-------- C:\Programme\CCleaner
2008-05-07 22:17 . 2008-05-07 22:17 <DIR> d-------- C:\Programme\Trend Micro
2008-05-07 21:50 . 2008-05-09 11:13 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-07 21:49 . 2008-05-08 18:08 <DIR> d-------- C:\VundoFix Backups
2008-05-07 06:22 . 2008-05-07 06:22 <DIR> d-------- C:\Programme\Avira
2008-05-06 23:03 . 2008-05-06 23:03 1 --a------ C:\WINDOWS\system32\kr_done1de
2008-05-06 23:02 . 2008-05-06 17:24 225,280 --a------ C:\WINDOWS\wetkadmr.dll
2008-05-06 23:02 . 2008-05-06 17:24 184,320 --a------ C:\WINDOWS\mkrndofl.dll
2008-05-06 23:02 . 2008-05-06 17:24 102,400 --a------ C:\WINDOWS\svorbmke.exe
2008-05-06 23:02 . 2008-05-06 17:24 81,920 --a------ C:\WINDOWS\knxsrgte.exe
2008-05-03 21:07 . 2008-05-03 21:07 <DIR> d-------- C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\Atari
2008-05-03 21:07 . 2008-05-04 16:24 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-05-03 21:06 . 2008-05-03 21:06 <DIR> d-------- C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\Leadertech
2008-04-29 19:11 . 2008-04-29 19:11 <DIR> d-------- C:\Programme\EA GAMES
2008-04-26 15:48 . 2008-04-26 15:48 101 --a------ C:\WINDOWS\CMMIXER.INI
2008-04-26 15:46 . 2004-08-03 23:08 10,624 --a------ C:\WINDOWS\system32\drivers\gameenum.sys
2008-04-26 15:46 . 2008-04-26 15:46 25 --a------ C:\WINDOWS\mixerdef.ini
2008-04-26 13:04 . 2008-04-26 13:07 <DIR> d-------- C:\Programme\Gemeinsame Dateien\logishrd
2008-04-26 12:57 . 2004-11-01 17:22 262,144 --a------ C:\WINDOWS\system32\ElkCtrl.exe
2008-04-26 12:57 . 2003-03-18 20:44 65,536 --a------ C:\WINDOWS\system32\MFC71DEU.DLL
2008-04-26 12:57 . 2003-03-18 20:44 61,440 --a------ C:\WINDOWS\system32\MFC71ITA.DLL
2008-04-26 12:57 . 2003-03-18 20:44 61,440 --a------ C:\WINDOWS\system32\MFC71ESP.DLL
2008-04-26 12:57 . 2003-03-18 20:44 57,344 --a------ C:\WINDOWS\system32\MFC71ENU.DLL
2008-04-26 12:57 . 2004-11-01 17:22 57,344 --a------ C:\WINDOWS\system32\ElkCtlPS.dll
2008-04-26 12:57 . 2003-03-18 20:44 49,152 --a------ C:\WINDOWS\system32\MFC71KOR.DLL
2008-04-26 12:57 . 2003-03-18 20:44 49,152 --a------ C:\WINDOWS\system32\MFC71JPN.DLL
2008-04-26 12:57 . 2003-03-18 20:44 45,056 --a------ C:\WINDOWS\system32\MFC71CHT.DLL
2008-04-26 12:57 . 2003-03-18 20:44 40,960 --a------ C:\WINDOWS\system32\MFC71CHS.DLL
2008-04-25 19:51 . 2005-12-09 15:31 245,824 -ra------ C:\WINDOWS\system32\InstExec.exe
2008-04-25 19:51 . 2005-12-09 15:35 245,824 -ra------ C:\WINDOWS\Instexec.exe
2008-04-25 19:51 . 2005-12-09 15:31 719 -ra------ C:\WINDOWS\system32\InstExec.ini
2008-04-23 00:29 . 2008-04-23 00:29 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-04-13 21:09 . 2008-04-13 21:09 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-04-13 02:33 . 2008-04-26 12:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logitech
2008-04-13 02:33 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system\msvcr71.dll
2008-04-13 00:51 . 2008-04-26 12:57 <DIR> d-------- C:\Programme\Logitech
2008-04-13 00:51 . 2008-04-13 00:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-04-13 00:51 . 2008-04-26 12:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logishrd
2008-04-12 18:57 . 2008-04-12 18:57 <DIR> d-------- C:\Dokumente und Einstellungen\Vincent\ScreenCam
2008-04-10 06:27 . 2008-04-10 06:27 268 --ah----- C:\sqmdata03.sqm
2008-04-10 06:27 . 2008-04-10 06:27 244 --ah----- C:\sqmnoopt03.sqm
2008-04-09 21:57 . 2008-04-09 21:57 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Xfire
2008-04-09 21:53 . 2008-04-29 15:09 <DIR> d-------- C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\Xfire
2008-04-09 16:59 . 2008-03-20 10:03 1,845,376 --------- C:\WINDOWS\system32\dllcache\win32k.sys
2008-04-09 16:59 . 2008-02-20 07:33 148,992 --------- C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-04-09 16:59 . 2008-02-20 07:33 45,568 --------- C:\WINDOWS\system32\dllcache\dnsrslvr.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-08 15:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-07 04:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-03 22:55 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-05-02 19:23 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-05-02 19:23 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-05-01 19:06 --------- d-----w C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\teamspeak2
2008-04-29 17:11 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-16 19:21 --------- d-----w C:\Programme\ICQ6
2008-03-31 21:44 --------- d-----w C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\MAGIX
2008-03-31 21:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-03-31 21:42 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-03-31 21:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
2008-03-30 22:09 --------- d-----w C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\DivX
2008-03-30 20:29 --------- d-----w C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\Winamp
2008-03-30 20:16 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2008-03-30 20:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-15 01:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\The Filter
2008-03-01 16:24 3,591,680 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-01 12:54 826,368 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2008-03-01 12:54 671,232 ------w C:\WINDOWS\system32\dllcache\mstime.dll
2008-03-01 12:54 478,208 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-03-01 12:54 44,544 ------w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-03-01 12:54 233,472 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2008-03-01 12:54 193,024 ------w C:\WINDOWS\system32\dllcache\msrating.dll
2008-03-01 12:54 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
2008-03-01 12:54 102,912 ------w C:\WINDOWS\system32\dllcache\occache.dll
2008-03-01 12:54 1,159,680 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-02-29 08:55 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-29 08:54 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-21 02:05 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-02-21 02:05 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-02-21 02:05 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-02-21 02:05 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-02-21 02:05 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-02-21 02:04 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-02-21 02:04 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-02-21 02:04 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-02-21 02:04 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-02-21 02:04 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-02-21 02:04 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-02-21 02:04 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-02-21 02:04 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-02-21 02:03 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-02-21 02:03 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ------w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-15 05:44 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-02-09 18:38 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-02-09 18:34 22,328 ----a-w C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\PnkBstrK.sys
2007-04-17 14:42 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

------- Sigcheck -------

2004-08-04 14:00 579584 78785eff8cb90cec1862a4ccfd9a3c3a C:\WINDOWS\system32\user32.dll

2004-08-04 14:00 2019840 5aa6fe8b36d7d4074542925c38c142be C:\WINDOWS\system32\ntkrnlpa.exe

2004-08-04 14:00 2140160 fd51b755255e963b1e78b010b575fa7c C:\WINDOWS\system32\ntoskrnl.exe
.
((((((((((((((((((((((((((((( snapshot@2008-05-09_ 8.18.06.59 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-09 06:15:44 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-09 09:14:17 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3B8CEB6B-8368-4CD3-A95C-E792D1BCF3FD}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 19:21 1694208]
"Steam"="d:\programme\steam\steam.exe" [2008-02-09 22:22 1266936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C6501Sound"="c6501.cpl" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"Realtime Audio Engine"="mmrtkrnl.exe" [2002-04-29 23:22 52736 C:\WINDOWS\system32\MMRTKRNL.EXE]
"nTrayFw"="C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2005-12-21 12:52 270336]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-30 22:16 185896]
"WinampAgent"="D:\Programme\Winamp\winampa.exe" [2008-03-27 08:35 36352]
"TrayServer"="D:\Programme\TrayServer.exe" [2007-03-29 11:05 90112]
"LogitechVideo[inspector]"="C:\Programme\Logitech\Video\InstallHelper.exe" [ ]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 16:33 563984]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam\Quickcam.exe" [2007-10-25 16:37 2178832]
"C-Media Mixer"="Mixer.exe" [2007-04-17 16:42 1855488 C:\WINDOWS\mixer.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"TSClientMSIUninstaller"="cmd.exe" [2004-08-04 14:00 401408 C:\WINDOWS\system32\cmd.exe]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-04 14:00 44544]
"nltide_2"="regsvr32 /s /n /i:U shell32" []
"nltide_3"="advpack.dll" [2008-03-01 14:53 124928 C:\WINDOWS\system32\advpack.dll]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Service Manager.lnk - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 18:23:32 74308]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Programme\\World of Warcraft\\WoW-1.12.0-deDE-downloader.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"D:\\Programme\\HLSW\\hlsw.exe"=
"D:\\Programme\\Steam\\SteamApps\\kleinehexe1980\\counter-strike\\hl.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Programme\\SpacialAudio\\SAMBC\\SAMBC.exe"=
"C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Apps\2.0\VWRHYJGG.37O\4VB6RAN6.8BE\thef...app_0d221d3645bc6701_0002.0005_8decbbb466c17454\The Filter.exe"= C:\Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Apps\2.0\VWRHYJGG.37O\4VB6RAN6.8BE\thef...app_0d221d3645bc6701_0002.0005_8decbbb466c17454\The Filter.exe:127.0.0.1/255.255.255.255:Enabled:The Filter: Windows Media Player plugin
"D:\\Programme\\Flightsimulator\\cfs3.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2 Demo\\BF2.exe"=
"D:\\Programme\\S.T.A.L.K.E.R\\bin\\XR_3DA.exe"=
"D:\\Programme\\S.T.A.L.K.E.R\\bin\\dedicated\\XR_3DA.exe"=

S3 c65013264;C-Media CM6501 Like Sound UDAX Interface;C:\WINDOWS\system32\drivers\c6501.sys [2007-07-10 03:42]

.
Inhalt des "geplante Tasks" Ordners
"2008-02-09 21:22:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-09 11:36:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-09 11:55:10
ComboFix-quarantined-files.txt 2008-05-09 09:52:34

10 Verzeichnis(se), 22,090,350,592 Bytes frei
13 Verzeichnis(se), 22,083,317,760 Bytes frei

224 --- E O F --- 2008-04-13 19:09:25

myrtille 09.05.2008 11:15
Hi,
hmm da scheint tatsächlich nur was mit dem Log schiefgegangen zu sein, aber wir nähern uns einem Ende. :)
Mache bitte noch folgendes:
  • kopiere den blauen Text in deinen Editor

    File::
    C:\WINDOWS\system32\kr_done1de
    C:\WINDOWS\wetkadmr.dll
    C:\WINDOWS\mkrndofl.dll
    C:\WINDOWS\svorbmke.exe
    C:\WINDOWS\knxsrgte.exe

  • Speichere den Text als CFScript.txt
  • Ziehe die Datei CFScript.txt auf ComboFix.exe wie hier zu sehen:
    http://img.photobucket.com/albums/v6...s/CFScript.gif
  • Wenn alles gutgeht erscheint ein Fenster Type 1 to continue, or 2 to abort. Wähle 1 aus und bestätige mit <enter>
  • Warte bitte ab bis Combofix fertig gearbeitet hat.
  • Poste das erstellte Log dann hier
(Wenn das Log nicht von selber auftaucht, findest du es unter C:\combofix.txt)

Poste bitte danach auch ein neues Hijackthislog und einen neuen Scan mit Malwarebytes

lg myrtille

Speshl K. 09.05.2008 12:18
So. gesagt, getan.

ComboFix log:
ComboFix 08-05-08.1 - Vincent 2008-05-09 12:35:15.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1613 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Vincent\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Vincent\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\knxsrgte.exe
C:\WINDOWS\mkrndofl.dll
C:\WINDOWS\svorbmke.exe
C:\WINDOWS\system32\kr_done1de
C:\WINDOWS\wetkadmr.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\knxsrgte.exe
C:\WINDOWS\mkrndofl.dll
C:\WINDOWS\svorbmke.exe
C:\WINDOWS\system32\kr_done1de
C:\WINDOWS\wetkadmr.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-09 bis 2008-05-09 ))))))))))))))))))))))))))))))
.

2008-05-09 11:13 . 2008-05-09 11:13 268 --ah----- C:\sqmdata06.sqm
2008-05-09 11:13 . 2008-05-09 11:13 244 --ah----- C:\sqmnoopt06.sqm
2008-05-09 08:34 . 2008-05-09 08:34 268 --ah----- C:\sqmdata05.sqm
2008-05-09 08:34 . 2008-05-09 08:34 244 --ah----- C:\sqmnoopt05.sqm
2008-05-09 08:15 . 2008-05-09 08:15 <DIR> d-------- C:\WINDOWS\system32\xircom
2008-05-09 08:15 . 2008-05-09 08:15 <DIR> d-------- C:\Programme\microsoft frontpage
2008-05-09 08:14 . 2008-05-09 08:14 268 --ah----- C:\sqmdata04.sqm
2008-05-09 08:14 . 2008-05-09 08:14 244 --ah----- C:\sqmnoopt04.sqm
2008-05-09 08:05 . 2008-05-09 08:05 <DIR> d-------- C:\Programme\CCleaner
2008-05-07 22:17 . 2008-05-07 22:17 <DIR> d-------- C:\Programme\Trend Micro
2008-05-07 21:50 . 2008-05-09 11:13 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-07 21:49 . 2008-05-08 18:08 <DIR> d-------- C:\VundoFix Backups
2008-05-07 06:22 . 2008-05-07 06:22 <DIR> d-------- C:\Programme\Avira
2008-05-03 21:07 . 2008-05-03 21:07 <DIR> d-------- C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\Atari
2008-05-03 21:07 . 2008-05-04 16:24 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-05-03 21:06 . 2008-05-03 21:06 <DIR> d-------- C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\Leadertech
2008-04-29 19:11 . 2008-04-29 19:11 <DIR> d-------- C:\Programme\EA GAMES
2008-04-26 15:48 . 2008-04-26 15:48 101 --a------ C:\WINDOWS\CMMIXER.INI
2008-04-26 15:46 . 2004-08-03 23:08 10,624 --a------ C:\WINDOWS\system32\drivers\gameenum.sys
2008-04-26 15:46 . 2008-04-26 15:46 25 --a------ C:\WINDOWS\mixerdef.ini
2008-04-26 13:04 . 2008-04-26 13:07 <DIR> d-------- C:\Programme\Gemeinsame Dateien\logishrd
2008-04-26 12:57 . 2004-11-01 17:22 262,144 --a------ C:\WINDOWS\system32\ElkCtrl.exe
2008-04-26 12:57 . 2003-03-18 20:44 65,536 --a------ C:\WINDOWS\system32\MFC71DEU.DLL
2008-04-26 12:57 . 2003-03-18 20:44 61,440 --a------ C:\WINDOWS\system32\MFC71ITA.DLL
2008-04-26 12:57 . 2003-03-18 20:44 61,440 --a------ C:\WINDOWS\system32\MFC71ESP.DLL
2008-04-26 12:57 . 2003-03-18 20:44 57,344 --a------ C:\WINDOWS\system32\MFC71ENU.DLL
2008-04-26 12:57 . 2004-11-01 17:22 57,344 --a------ C:\WINDOWS\system32\ElkCtlPS.dll
2008-04-26 12:57 . 2003-03-18 20:44 49,152 --a------ C:\WINDOWS\system32\MFC71KOR.DLL
2008-04-26 12:57 . 2003-03-18 20:44 49,152 --a------ C:\WINDOWS\system32\MFC71JPN.DLL
2008-04-26 12:57 . 2003-03-18 20:44 45,056 --a------ C:\WINDOWS\system32\MFC71CHT.DLL
2008-04-26 12:57 . 2003-03-18 20:44 40,960 --a------ C:\WINDOWS\system32\MFC71CHS.DLL
2008-04-25 19:51 . 2005-12-09 15:31 245,824 -ra------ C:\WINDOWS\system32\InstExec.exe
2008-04-25 19:51 . 2005-12-09 15:35 245,824 -ra------ C:\WINDOWS\Instexec.exe
2008-04-25 19:51 . 2005-12-09 15:31 719 -ra------ C:\WINDOWS\system32\InstExec.ini
2008-04-23 00:29 . 2008-04-23 00:29 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-04-13 21:09 . 2008-04-13 21:09 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-04-13 02:33 . 2008-04-26 12:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logitech
2008-04-13 02:33 . 2003-02-21 04:42 348,160 --a------ C:\WINDOWS\system\msvcr71.dll
2008-04-13 00:51 . 2008-04-26 12:57 <DIR> d-------- C:\Programme\Logitech
2008-04-13 00:51 . 2008-04-13 00:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-04-13 00:51 . 2008-04-26 12:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logishrd
2008-04-12 18:57 . 2008-04-12 18:57 <DIR> d-------- C:\Dokumente und Einstellungen\Vincent\ScreenCam
2008-04-10 06:27 . 2008-04-10 06:27 268 --ah----- C:\sqmdata03.sqm
2008-04-10 06:27 . 2008-04-10 06:27 244 --ah----- C:\sqmnoopt03.sqm
2008-04-09 21:57 . 2008-04-09 21:57 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Xfire
2008-04-09 21:53 . 2008-04-29 15:09 <DIR> d-------- C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\Xfire
2008-04-09 16:59 . 2008-03-20 10:03 1,845,376 --------- C:\WINDOWS\system32\dllcache\win32k.sys
2008-04-09 16:59 . 2008-02-20 07:33 148,992 --------- C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-04-09 16:59 . 2008-02-20 07:33 45,568 --------- C:\WINDOWS\system32\dllcache\dnsrslvr.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-08 15:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-07 04:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-03 22:55 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-05-02 19:23 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-05-02 19:23 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-05-01 19:06 --------- d-----w C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\teamspeak2
2008-04-29 17:11 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-16 19:21 --------- d-----w C:\Programme\ICQ6
2008-03-31 21:44 --------- d-----w C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\MAGIX
2008-03-31 21:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-03-31 21:42 --------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-03-31 21:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
2008-03-30 22:09 --------- d-----w C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\DivX
2008-03-30 20:29 --------- d-----w C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\Winamp
2008-03-30 20:16 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2008-03-30 20:16 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-15 01:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\The Filter
2008-03-01 16:24 3,591,680 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-01 12:54 826,368 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2008-03-01 12:54 671,232 ------w C:\WINDOWS\system32\dllcache\mstime.dll
2008-03-01 12:54 478,208 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-03-01 12:54 44,544 ------w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-03-01 12:54 233,472 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2008-03-01 12:54 193,024 ------w C:\WINDOWS\system32\dllcache\msrating.dll
2008-03-01 12:54 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
2008-03-01 12:54 102,912 ------w C:\WINDOWS\system32\dllcache\occache.dll
2008-03-01 12:54 1,159,680 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-02-29 08:55 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-29 08:54 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-21 02:05 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-02-21 02:05 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-02-21 02:05 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-02-21 02:05 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-02-21 02:05 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-02-21 02:04 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-02-21 02:04 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-02-21 02:04 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-02-21 02:04 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-02-21 02:04 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-02-21 02:04 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-02-21 02:04 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-02-21 02:04 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-02-21 02:04 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-02-21 02:04 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-02-21 02:03 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-02-21 02:03 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:50 282,624 ------w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-15 05:44 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-02-09 18:38 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-02-09 18:34 22,328 ----a-w C:\Dokumente und Einstellungen\Vincent\Anwendungsdaten\PnkBstrK.sys
2007-04-17 14:42 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

------- Sigcheck -------

2004-08-04 14:00 579584 78785eff8cb90cec1862a4ccfd9a3c3a C:\WINDOWS\system32\user32.dll

2004-08-04 14:00 2019840 5aa6fe8b36d7d4074542925c38c142be C:\WINDOWS\system32\ntkrnlpa.exe

2004-08-04 14:00 2140160 fd51b755255e963b1e78b010b575fa7c C:\WINDOWS\system32\ntoskrnl.exe
.
((((((((((((((((((((((((((((( snapshot@2008-05-09_ 8.18.06.59 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-09 06:15:44 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-09 09:59:42 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3B8CEB6B-8368-4CD3-A95C-E792D1BCF3FD}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 19:21 1694208]
"Steam"="d:\programme\steam\steam.exe" [2008-02-09 22:22 1266936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C6501Sound"="c6501.cpl" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"Realtime Audio Engine"="mmrtkrnl.exe" [2002-04-29 23:22 52736 C:\WINDOWS\system32\MMRTKRNL.EXE]
"nTrayFw"="C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2005-12-21 12:52 270336]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-30 22:16 185896]
"WinampAgent"="D:\Programme\Winamp\winampa.exe" [2008-03-27 08:35 36352]
"TrayServer"="D:\Programme\TrayServer.exe" [2007-03-29 11:05 90112]
"LogitechVideo[inspector]"="C:\Programme\Logitech\Video\InstallHelper.exe" [ ]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 16:33 563984]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam\Quickcam.exe" [2007-10-25 16:37 2178832]
"C-Media Mixer"="Mixer.exe" [2007-04-17 16:42 1855488 C:\WINDOWS\mixer.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"TSClientMSIUninstaller"="cmd.exe" [2004-08-04 14:00 401408 C:\WINDOWS\system32\cmd.exe]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-04 14:00 44544]
"nltide_2"="regsvr32 /s /n /i:U shell32" []
"nltide_3"="advpack.dll" [2008-03-01 14:53 124928 C:\WINDOWS\system32\advpack.dll]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Service Manager.lnk - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 18:23:32 74308]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Programme\\World of Warcraft\\WoW-1.12.0-deDE-downloader.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"D:\\Programme\\HLSW\\hlsw.exe"=
"D:\\Programme\\Steam\\SteamApps\\kleinehexe1980\\counter-strike\\hl.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Programme\\SpacialAudio\\SAMBC\\SAMBC.exe"=
"C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Apps\2.0\VWRHYJGG.37O\4VB6RAN6.8BE\thef...app_0d221d3645bc6701_0002.0005_8decbbb466c17454\The Filter.exe"= C:\Dokumente und Einstellungen\Vincent\Lokale Einstellungen\Apps\2.0\VWRHYJGG.37O\4VB6RAN6.8BE\thef...app_0d221d3645bc6701_0002.0005_8decbbb466c17454\The Filter.exe:127.0.0.1/255.255.255.255:Enabled:The Filter: Windows Media Player plugin
"D:\\Programme\\Flightsimulator\\cfs3.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2 Demo\\BF2.exe"=
"D:\\Programme\\S.T.A.L.K.E.R\\bin\\XR_3DA.exe"=
"D:\\Programme\\S.T.A.L.K.E.R\\bin\\dedicated\\XR_3DA.exe"=

R2 MarxDev1;MarxDev1;C:\WINDOWS\system32\drivers\MarxDev1.sys [2001-05-28 16:30]
R2 MarxDev2;MarxDev2;C:\WINDOWS\system32\drivers\MarxDev2.sys [2001-05-28 16:30]
R2 MarxDev3;MarxDev3;C:\WINDOWS\system32\drivers\MarxDev3.sys [2001-05-28 16:30]
S3 c65013264;C-Media CM6501 Like Sound UDAX Interface;C:\WINDOWS\system32\drivers\c6501.sys [2007-07-10 03:42]
S3 LVPrcMon;Logitech LVPrcMon Driver;C:\WINDOWS\system32\drivers\LVPrcMon.sys [2005-12-09 15:37]

.
Inhalt des "geplante Tasks" Ordners
"2008-02-09 21:22:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-09 12:55:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-09 13:08:40
ComboFix-quarantined-files.txt 2008-05-09 11:07:51
ComboFix2.txt 2008-05-09 09:55:22

10 Verzeichnis(se), 22,069,641,216 Bytes frei
12 Verzeichnis(se), 22,060,830,720 Bytes frei

226 --- E O F --- 2008-04-13 19:09:25

Speshl K. 09.05.2008 12:19
Hier der HIJ Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:23:03, on 09.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Live Toolbar\msn_sl.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = WEB.DE - E-Mail - Suche - DSL - Modem - Shopping - Entertainment
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TrayServer] D:\Programme\TrayServer.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - Add to Windows Live Favorites
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/micr...?1202566520468
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/Driver...sysreqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1202566500609
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/Driver...aSmartScan.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/phot...che=1206649374
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Common\Database\bin\fbserver.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 9338 bytes

Speshl K. 09.05.2008 12:20
Ist das eig normal, das ComboFix so lange braucht?
Das waren jetzt ja fast 60min

Speshl K. 09.05.2008 13:03
Und zu guter letzt den Log von Malwarebytes:
Malwarebytes' Anti-Malware 1.12
Datenbank Version: 736

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 140593
Scan Dauer: 37 minute(s), 59 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{0d717c5e-ce5a-406c-bd38-ea1e88423fcf} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{28c0cd98-4837-4e08-99e8-bc07e99c10f5} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c771973c-b5ad-4e56-9ef3-e5b97d6251cd} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5cc836c8-3d7a-4001-a273-2a2fee6b642e} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{d85e528d-d7af-4f63-8639-b42b22be4a1a} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mkrndofl.blsm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mkrndofl.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS\wetkadmr.dll.vir (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DDBB7B9D-7C13-4D5E-A5E9-589ABAA90E9E}\RP45\A0017485.dll (Trojan.Zlob) -> Quarantined and deleted successfully.

Speshl K. 09.05.2008 13:05
Hier nochmal ein Scan-Bericht nach dem formatieren der von Malwarebytes gefunden Infizierungen:
Malwarebytes' Anti-Malware 1.12
Datenbank Version: 736

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 140593
Scan Dauer: 37 minute(s), 59 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{0d717c5e-ce5a-406c-bd38-ea1e88423fcf} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{28c0cd98-4837-4e08-99e8-bc07e99c10f5} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c771973c-b5ad-4e56-9ef3-e5b97d6251cd} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5cc836c8-3d7a-4001-a273-2a2fee6b642e} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{d85e528d-d7af-4f63-8639-b42b22be4a1a} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mkrndofl.blsm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mkrndofl.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS\wetkadmr.dll.vir (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DDBB7B9D-7C13-4D5E-A5E9-589ABAA90E9E}\RP45\A0017485.dll (Trojan.Zlob) -> Quarantined and deleted successfully.

Speshl K. 09.05.2008 13:06
Ich hoffe doch, das es das dann war.
Was konnten denn die trojaner alles anrichten?
Und wie Schütze ich mich vor so nem Scheiß?
Danke schonmal.
Warte gespannt auf die Auswertung ;)

myrtille 09.05.2008 13:48
Hi,
du hattest einen der "typischen" Fake.Alertbefälle. Das sind Trojaner, die sich auf deinem Rechner installieren und dir dann melden, dass du infiziert bist und am besten ihr (natürlich kostenpflichtiges) Antivirenprogramm runterladen solltest.

Der Trojaner kommt nicht von allein auf den Rechner, ein Trojaner ist Teil eines Nutzprogramms, dass du selbst auf deinem Rechner installiert hast.
In 90% der Fälle handelt es sich dabei um Cracks, um Pornocodecs und ähnliche "Fallen".

Ansonsten verbreitet sich der Trojaner aber zb auch über Javascript auf gehackten Seiten oder über Sicherheitslücken im Java.
Dies lässt sich allerdings meist durch ein aktuelles Antivirenprogramm und aktuelle Software verhindern. Das und ein wenig brain.exe verhindert eigentlich fast jeden Befall. ;)

Die Logs sehen soweit ok aus :)
Bitte einmal noch die Systemwiederherstellung deaktivieren. Rechner runterfahren und danach diese wieder reaktivieren.

lg myrtille

Speshl K. 09.05.2008 13:50
Ist denn jetzt alles rein?
achja. hab am anfang ja angemerkt, dass das wohl von ner schmuddelpage stammt -.-
ich sollte mal ein wenig von meiner arbeit zurücktreten (bin 20 und arbeite viel zu viel) und ein wenig zeit in eine freundin, die ich erst suchen muss, investieren...


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:43 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131