Trojaner-Board - Trojaner Problem

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojaner Problem (https://www.trojaner-board.de/63074-trojaner-problem.html)

Trojaner Problem

Hallöle...
seit einigen Tagen meldet mir Antivir beim hochfahren meines PCS
folgenden Befall
TR/Dropper.Gen
TR/Hijacker.Gen
TR/Rootkit.Gen
Löschen bringt nix,Qurantäne auch nix..Systemwiederherstellung hat auch nich geklappt..Kenn mich damit absolut nicht aus..
Hab mich hier ein wenig durch-gelesen und hab schon mal ein logfile ComboScan
gemacht,den ich hier mal anhänge..
Ich hoffe ihr könnt mir weiterhelfen....aber bitte 'hilfe für Dummies'ich hab keine Ahnung von dem Zeugs
Vielen Dank schon mal im Voraus
LG
Makie

Hallo und :hallo:

ComboScan ist aaaalt!
Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hallo,erstmal noch vielen Dank für die schnelle Hilfe !!!

Hier mein MBR-Logfile:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Hijack-Logfile nachdem ich Blacklight ausgeführt habe:

Hier der mbam-Log:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1331
Windows 5.1.2600 Service Pack 3

28.10.2008 16:00:37
mbam-log-2008-10-28 (16-00-15).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 47870
Laufzeit: 2 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ati6ddxx (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ati6ddxx (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati6ddxx (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\ati6ddxx.sys (Rootkit.Agent) -> No action taken.

Code:


 

"Silent Runners.vbs", revision 58, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"
 
 

Startup items buried in registry:

---------------------------------
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

"GMX_GMX MultiMessenger" = ""C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" /hide" ["GMX GmbH"]

"IncrediMail" = "C:\Programme\IncrediMail\bin\IncMail.exe /c" ["IncrediMail, Ltd."]

"Magentic" = "C:\PROGRA~1\Magentic\bin\Magentic.exe /c" [empty string]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]

"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]

"AGEIA PhysX SysTray" = ""C:\Programme\AGEIA Technologies\TrayIcon.exe"" [null data]

"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]

"DMS-Kalenderchen" = "C:\Programme\Kalenderchen\Kalenderchen.exe /autorun" ["Daniel Manger Software"]

"UserFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -u"

"Malwarebytes Anti-Malware (reboot)" = ""C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript" ["Malwarebytes Corporation"]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Adobe PDF Reader"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "SSVHelper Class"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}\(Default) = "Kwyshell MidpX BHO"

  -> {HKLM...CLSID} = "Kwyshell MidpX"

                   \InProcServer32\(Default) = "C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll" ["Kwyshell G.Corp"]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"

  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"

  -> {HKLM...CLSID} = "Microsoft Office Outlook"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]

"{D120D80B-BD26-4A74-8E43-2C2AF0966139}" = "QuickPar ContextMenu extension"

  -> {HKLM...CLSID} = "QuickParContextMenu Class"

                   \InProcServer32\(Default) = "C:\Programme\QuickPar\QuickParShlExt.dll" ["Peter B Clements"]

"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"

  -> {HKLM...CLSID} = "SimpleShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" [null data]

"{94586423-855F-4EB2-9F6A-D9DA5658DBE3}" = "SxContextMenu1stConv"

  -> {HKLM...CLSID} = "Context menu"

                   \InProcServer32\(Default) = "C:\PROGRA~1\FREEM4~1\m4a_menu.dll" [null data]

"{BD88A479-9623-4897-8546-BC62B9628F44}" = "SPTHandler"

  -> {HKLM...CLSID} = "SPTHandler"

                   \InProcServer32\(Default) = "C:\Programme\Spyware Terminator\sptcontmenu.dll" ["Crawler.com"]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

  -> {HKLM...CLSID} = "WPDShServiceObj Class"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]
 

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\

<<!>> ("" [file not found]) "SecurityProviders" = "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,"
 

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\

<<!>> "BootExecute" = "autocheck autochk *"| [file not found]
 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

<<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS]
 

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\

<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\

{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"

  -> {HKLM...CLSID} = "PDF Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
 

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\

IMMenuShellExt\(Default) = "{F8984111-38B6-11D5-8725-0050DA2761C4}"

  -> {HKLM...CLSID} = "IMMenuShellExt Class"

                   \InProcServer32\(Default) = "C:\Programme\IncrediMail\bin\ImShExtU.dll" ["IncrediMail, Ltd."]

MyPhoneExplorer\(Default) = "{A372C6DF-7A85-41B1-B3B0-D1E24073DCBF}"

  -> {HKLM...CLSID} = "MyPhoneExplorer_ShellEx.ShellExt"

                   \InProcServer32\(Default) = "C:\Programme\MyPhoneExplorer\DLL\ShellMgr.dll" ["F.J. Wechselberger"]

Quick Par\(Default) = "{D120D80B-BD26-4A74-8E43-2C2AF0966139}"

  -> {HKLM...CLSID} = "QuickParContextMenu Class"

                   \InProcServer32\(Default) = "C:\Programme\QuickPar\QuickParShlExt.dll" ["Peter B Clements"]

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

SPTContMenu\(Default) = "{BD88A479-9623-4897-8546-BC62B9628F44}"

  -> {HKLM...CLSID} = "SPTHandler"

                   \InProcServer32\(Default) = "C:\Programme\Spyware Terminator\sptcontmenu.dll" ["Crawler.com"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\

MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"

  -> {HKLM...CLSID} = "MBAMShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"

                   \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

SPTContMenu\(Default) = "{BD88A479-9623-4897-8546-BC62B9628F44}"

  -> {HKLM...CLSID} = "SPTHandler"

                   \InProcServer32\(Default) = "C:\Programme\Spyware Terminator\sptcontmenu.dll" ["Crawler.com"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\

MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"

  -> {HKLM...CLSID} = "MBAMShlExt Class"

                   \InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]

SPTContMenu\(Default) = "{BD88A479-9623-4897-8546-BC62B9628F44}"

  -> {HKLM...CLSID} = "SPTHandler"

                   \InProcServer32\(Default) = "C:\Programme\Spyware Terminator\sptcontmenu.dll" ["Crawler.com"]
 
 

Default executables:

--------------------
 

HKLM\SOFTWARE\Classes\.scr\(Default) = "scrfile"

<<!>> HKLM\SOFTWARE\Classes\scrfile\shell\open\command\(Default) = ""%1" %*" [file not found]
 
 

Group Policies {policy setting}:

--------------------------------
 

Note: detected settings may not have any effect.
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
 

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001

{Shutdown: Allow system to be shut down without having to log on}
 

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001

{Devices: Allow undock without having to log on}
 
 

Active Desktop and Wallpaper:

-----------------------------
 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Dokumente und Einstellungen\Makie\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 
 

Enabled Screen Saver:

---------------------
 

HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\system32\MAGENT~1.SCR" (Magentic Screensaver.scr) ["IncrediMail LTD."]
 
 

Windows Portable Device AutoPlay Handlers

-----------------------------------------
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\
 

HMMAddToDatabaseHandler\

"Provider" = "Helium Music Manager 2008"

"InvokeProgID" = "Helium2008.HMMAddToDatabaseHandler"

"InvokeVerb" = "open"

HKLM\SOFTWARE\Classes\Helium2008.HMMAddToDatabaseHandler\shell\open\DropTarget\CLSID = "{A1E14418-8893-45FC-A04A-82464BB1567A}"

  -> {HKLM...CLSID} = (no title provided)

                   \LocalServer32\(Default) = "C:\PROGRA~1\INTERM~1\HELIUM~1\HELIUM~1.EXE" ["Intermedia Software"]
 

HMMMTPHandler\

"Provider" = "Helium Music Manager 2008"

"InvokeProgID" = "Helium2008.HMMMTPHandler"

"InvokeVerb" = "open"

HKLM\SOFTWARE\Classes\Helium2008.HMMMTPHandler\shell\open\DropTarget\CLSID = "{82C3D74B-776F-436A-9EC3-88AC68843063}"

  -> {HKLM...CLSID} = (no title provided)

                   \LocalServer32\(Default) = "C:\PROGRA~1\INTERM~1\HELIUM~1\HELIUM~1.EXE" ["Intermedia Software"]
 

HMMPlayHandler\

"Provider" = "Helium Music Manager 2008"

"InvokeProgID" = "Helium2008.HMMPlayMusicHandler"

"InvokeVerb" = "open"

HKLM\SOFTWARE\Classes\Helium2008.HMMPlayMusicHandler\shell\open\DropTarget\CLSID = "{B0AD4BDA-BAED-4B27-B99C-A62345B439FF}"

  -> {HKLM...CLSID} = (no title provided)

                   \LocalServer32\(Default) = "C:\PROGRA~1\INTERM~1\HELIUM~1\HELIUM~1.EXE" ["Intermedia Software"]
 

HMMRipAudioCDHandler\

"Provider" = "Helium Music Manager 2008"

"InvokeProgID" = "Helium2008.HMMRipAudioCDHandler"

"InvokeVerb" = "open"

HKLM\SOFTWARE\Classes\Helium2008.HMMRipAudioCDHandler\shell\open\DropTarget\CLSID = "{D78D6E8B-8BC0-457F-80B6-D94287756F87}"

  -> {HKLM...CLSID} = (no title provided)

                   \LocalServer32\(Default) = "C:\PROGRA~1\INTERM~1\HELIUM~1\HELIUM~1.EXE" ["Intermedia Software"]
 

MSWPDShellNamespaceHandler\

"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"

"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"

"InitCmdLine" = " "

  -> {HKLM...CLSID} = "WPDShextAutoplay"

                   \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]
 

NeroAutoPlay2AudioToNeroDigital\

"Provider" = "Nero Burning ROM"

"InvokeProgID" = "Nero.AutoPlay2"

"InvokeVerb" = "PlayCDAudioOnArrival_AudioToNeroDigital"

HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_AudioToNeroDigital\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracksND  /Drive:%L" ["Ahead Software AG"]
 

NeroAutoPlay2CDAudio\

"Provider" = "Nero Burning ROM"

"InvokeProgID" = "Nero.AutoPlay2"

"InvokeVerb" = "HandleCDBurningOnArrival_CDAudio"

HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /New:AudioCD /Drive:%L" ["Ahead Software AG"]
 

NeroAutoPlay2CopyCD\

"Provider" = "Nero Burning ROM"

"InvokeProgID" = "Nero.AutoPlay2"

"InvokeVerb" = "PlayCDAudioOnArrival_CopyCD"

HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_CopyCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /Dialog:DiscCopy /Drive:%L" ["Ahead Software AG"]
 

NeroAutoPlay2DataDisc\

"Provider" = "Nero Burning ROM"

"InvokeProgID" = "Nero.AutoPlay2"

"InvokeVerb" = "HandleCDBurningOnArrival_DataDisc"

HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_DataDisc\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /New:ISODisc /Drive:%L" ["Ahead Software AG"]
 

NeroAutoPlay2LaunchNeroStartSmart\

"Provider" = "Nero StartSmart"

"InvokeProgID" = "Nero.AutoPlay2"

"InvokeVerb" = "HandleCDBurningOnArrival_LaunchNeroStartSmart"

HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_LaunchNeroStartSmart\command\(Default) = "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe /AutoPlay /Drive:%L" ["Ahead Software AG"]
 

NeroAutoPlay2RipCD\

"Provider" = "Nero Burning ROM"

"InvokeProgID" = "Nero.AutoPlay2"

"InvokeVerb" = "PlayCDAudioOnArrival_RipCD"

HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_RipCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracks  /Drive:%L" ["Ahead Software AG"]
 

VLCPlayCDAudioOnArrival\

"Provider" = "VideoLAN VLC media player"

"InvokeProgID" = "VLC.CDAudio"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda://%1" ["the VideoLAN Team"]
 

VLCPlayDVDMovieOnArrival\

"Provider" = "VideoLAN VLC media player"

"InvokeProgID" = "VLC.DVDMovie"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd://%1" ["the VideoLAN Team"]
 
 

Winsock2 Service Provider DLLs:

-------------------------------
 

Namespace Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
 

Transport Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
 
 

Toolbars, Explorer Bars, Extensions:

------------------------------------
 

Toolbars
 

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\

"{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}"

  -> {HKLM...CLSID} = "Kwyshell MidpX"

                   \InProcServer32\(Default) = "C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll" ["Kwyshell G.Corp"]
 

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}"

  -> {HKLM...CLSID} = "Kwyshell MidpX"

                   \InProcServer32\(Default) = "C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll" ["Kwyshell G.Corp"]
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\

"{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}" = "Kwyshell MidpX"

  -> {HKLM...CLSID} = "Kwyshell MidpX"

                   \InProcServer32\(Default) = "C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll" ["Kwyshell G.Corp"]
 

Explorer Bars
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
 

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"

Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]

InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]
 

Extensions (Tools menu items, main toolbar menu buttons)
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Sun Java Konsole"

"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"

  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]
 

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\

"ButtonText" = "Recherchieren"
 

{E2E2DD38-D088-4134-82B7-F2BA38496583}\

"MenuText" = "@xpsp3res.dll,-20001"

"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]
 

{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
 
 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------
 

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]

AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]

Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]

Spyware Terminator Realtime Shield Service, sp_rssrv, ""C:\Programme\Spyware Terminator\sp_rsser.exe"" ["Crawler.com"]

Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]}
 
 

Print Monitors:

---------------
 

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\

Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]

Toshiba Bluetooth Monitor\Driver = "tbtmon.dll" ["Toshiba America Business Solutions, Inc."]
 
 

---------- (launch time: 2008-10-28 16:17:39)

<<!>>: Suspicious data at a malware launch point.
 

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

  DLL launch points, use the -supp parameter or answer "No" at the

  first message box and "Yes" at the second message box.

---------- (total run time: 54 seconds, including 18 seconds for message boxes)

Beachte die Anleitungen genauer. Für MBAM solltest Du einen vollen Scan durchführen und die Funde entfernen lassen!

Code:

ComboFix 08-10-27.05 - Makie 2008-10-28 16:39:16.1 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.175 [GMT 1:00]

ausgeführt von:: C:\Dokumente und Einstellungen\Makie\Desktop\ComboFix.exe

 * Neuer Wiederherstellungspunkt wurde erstellt
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\Dokumente und Einstellungen\Makie\Anwendungsdaten\inst.exe

C:\WINDOWS\system\msvbvm60.dll

C:\WINDOWS\system32\uninstall.exe
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Legacy_PACKET

-------\Legacy_TCPSR

-------\Service_Packet
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-09-28 bis 2008-10-28  ))))))))))))))))))))))))))))))

.
 

2008-10-28 12:52 . 2008-10-28 14:14        <DIR>        d--------        C:\ComboScan

2008-10-28 11:13 . 2008-10-22 16:10        38,496        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-10-28 11:13 . 2008-10-22 16:10        15,504        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-10-28 11:12 . 2008-10-28 11:13        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-10-28 09:26 . 2008-10-28 11:01        <DIR>        d--------        C:\Programme\Spyware Terminator

2008-10-28 09:26 . 2008-10-28 10:37        <DIR>        d--------        C:\Dokumente und Einstellungen\Makie\Anwendungsdaten\Spyware Terminator

2008-10-28 09:26 . 2008-10-28 11:01        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator

2008-10-28 09:26 . 2008-10-28 09:26        141,312        --a------        C:\WINDOWS\system32\drivers\sp_rsdrv2.sys

2008-10-24 17:26 . 2008-10-24 17:26        <DIR>        dr-------        C:\WINDOWS\system32\config\systemprofile\Eigene Dateien

2008-10-24 17:15 . 2008-10-15 17:35        337,408        -----c---        C:\WINDOWS\system32\dllcache\netapi32.dll

2008-10-21 08:01 . 2008-10-21 08:01        129        --a------        C:\WINDOWS\system32\MRT.INI

2008-10-20 21:39 . 2008-10-20 21:39        <DIR>        d--------        C:\Programme\Magentic

2008-10-20 21:39 . 2008-08-04 08:51        750,984        --a------        C:\WINDOWS\system32\Magentic Screensaver.scr

2008-10-20 20:17 . 2008-10-20 21:10        <DIR>        d--------        C:\Programme\IncrediMail

2008-10-20 20:17 . 2008-10-20 20:17        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail

2008-10-20 18:17 . 2008-10-20 18:17        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM

2008-10-20 15:01 . 2008-09-08 11:41        333,824        -----c---        C:\WINDOWS\system32\dllcache\srv.sys

2008-10-20 14:59 . 2008-08-14 14:19        2,191,488        -----c---        C:\WINDOWS\system32\dllcache\ntoskrnl.exe

2008-10-20 14:59 . 2008-08-14 14:19        2,068,352        -----c---        C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2008-10-20 14:59 . 2008-09-15 16:24        1,846,528        -----c---        C:\WINDOWS\system32\dllcache\win32k.sys

2008-10-15 06:59 . 2008-10-28 12:25        32,768        --a------        C:\WINDOWS\system32\drivers\ati6ddxx.sys

2008-10-12 18:35 . 2008-10-12 18:35        <DIR>        d--------        C:\Programme\Free M4a to MP3 Converter

2008-10-06 19:01 . 2008-10-06 19:13        <DIR>        d--------        C:\Dokumente und Einstellungen\Makie\Anwendungsdaten\vlc

2008-10-03 09:01 . 2008-10-03 09:01        <DIR>        d--------        C:\Programme\Groschengrab Deluxe
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-28 11:16        ---------        d---a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

2008-10-28 11:16        ---------        d-----w        C:\Programme\Trojan Remover

2008-10-28 07:14        ---------        d-----w        C:\Dokumente und Einstellungen\Makie\Anwendungsdaten\UseNeXT

2008-10-26 08:34        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic

2008-10-24 16:07        ---------        d-----w        C:\Programme\Microsoft Silverlight

2008-10-21 06:40        ---------        d-----w        C:\Programme\The JukeBoxer

2008-10-21 06:40        ---------        d-----w        C:\Programme\Silverjuke

2008-10-21 06:40        ---------        d-----w        C:\Dokumente und Einstellungen\Makie\Anwendungsdaten\Silverjuke

2008-10-21 06:38        ---------        d-----w        C:\Programme\Pro Jäger -Die 3D Entenjagd Simulation

2008-10-21 06:36        ---------        d-----w        C:\Programme\EA Games

2008-10-21 06:35        ---------        d-----w        C:\Programme\GameSpy Arcade

2008-10-21 06:34        ---------        d-----w        C:\Programme\CHIP Update-Manager

2008-10-21 06:33        ---------        d-----w        C:\Programme\UseNeXT

2008-10-03 12:33        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-10-03 12:33        ---------        d-----w        C:\Programme\Sportschiessen 2006

2008-09-21 07:51        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rionix

2008-09-21 07:50        ---------        d-----w        C:\Programme\Alawar

2008-09-16 14:09        ---------        d-----w        C:\Programme\Zylom Games

2008-09-16 13:05        ---------        d-----w        C:\Dokumente und Einstellungen\Makie\Anwendungsdaten\Zylom

2008-09-13 16:04        ---------        d-----w        C:\Programme\Free FLV Converter

2008-09-13 15:48        ---------        d-----w        C:\Dokumente und Einstellungen\Makie\Anwendungsdaten\MyPhoneExplorer

2008-09-13 15:33        ---------        d-----w        C:\Programme\MyPhoneExplorer

2008-09-08 10:41        333,824        ----a-w        C:\WINDOWS\system32\drivers\srv.sys

2008-03-25 08:03        76        ---ha-w        C:\Programme\Desktop.ini

2008-02-16 13:48        47,360        ----a-w        C:\Dokumente und Einstellungen\Makie\Anwendungsdaten\pcouffin.sys

.
 

        Code:


        
<pre>

----a-w        19,067,997 2008-10-28 07:12:30  C:\Dokumente und Einstellungen\Makie\Eigene Dateien\UseNeXT\alt.binaries.warez.0-day\makes your adware, malware and spyware removal easy and fast! ImVajra Spyware Remover .exe

</pre>

 


((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

"GMX_GMX MultiMessenger"="C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" [2008-10-09 4785576]

"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2008-10-20 243072]

"Magentic"="C:\PROGRA~1\Magentic\bin\Magentic.exe" [2008-08-04 488808]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]

"AGEIA PhysX SysTray"="C:\Programme\AGEIA Technologies\TrayIcon.exe" [2006-08-16 339968]

"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"DMS-Kalenderchen"="C:\Programme\Kalenderchen\Kalenderchen.exe" [2005-07-20 1445376]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0wwxx.sys]

@="Driver"
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6ddxx.sys]

@="Driver"
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--a------ 2008-04-14 06:52 1695232 C:\Programme\Messenger\msmsgs.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]

--a------ 2008-01-21 11:17 61440 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrojanScanner]

C:\Programme\Trojan Remover\Trjscan.exe [N/A]
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Programme\\IncrediMail\\bin\\IMApp.exe"=

"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=

"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=

"C:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"=

"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

"C:\\Programme\\UseNeXT\\UseNeXT.exe"=

"C:\\Programme\\IncrediMail\\bin\\ImLc.exe"=

"C:\\Programme\\Atari\\Trivial Pursuit Unlimited\\TPPCGerman.exe"=

"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=

"C:\\Programme\\GMX\\GMX MultiMessenger\\MESSENGR.EXE"=

"C:\\Programme\\Magentic\\bin\\MgImp.exe"=

"C:\\Programme\\Magentic\\bin\\Magentic.exe"=

"C:\\Programme\\Magentic\\bin\\MgApp.exe"=
 

R0 ati6ddxx;ati6ddxx;C:\WINDOWS\system32\Drivers\ati6ddxx.sys [2008-10-28 32768]

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-19 22336]

R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-17 45376]

R2 ACEDRV09;ACEDRV09;C:\WINDOWS\system32\drivers\ACEDRV09.sys [2007-07-19 110304]

S0 ati0wwxx;ati0wwxx;C:\WINDOWS\system32\Drivers\ati0wwxx.sys [ ]

S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2007-11-26 13352]

.

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\Makie\Anwendungsdaten\Mozilla\Firefox\Profiles\k4luvg4d.default\

FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://de.yahoo.com/r/hf

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-28 16:42:40

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

------------------------ Weitere laufende Prozesse ------------------------

.

C:\WINDOWS\system32\ati2evxx.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programme\Spyware Terminator\sp_rsser.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-10-28 16:46:30 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2008-10-28 15:46:26
 

Vor Suchlauf: 13 Verzeichnis(se), 63.370.584.064 Bytes frei

Nach Suchlauf: 13 Verzeichnis(se), 63,431,712,768 Bytes frei
 

159        --- E O F ---        2008-10-24 19:24:32

C:\WINDOWS\system32\Drivers\ati6ddxx.sys
C:\WINDOWS\system32\Drivers\ati0wwxx.sys

Bitte mal bei Virustotal auswerten lassen und Ergebnisse posten.

HIER DIE listing-FILE:File-Upload.net - listing.txt

:eek:Mir qualmt der Kopf,ich hoffe ich habe alles richtig gemacht!!!?

Bis auf MBAM ist das schonmal okay - werte bitte die o.g. Dateien bei Virustotal aus und poste die Ergebnisse.

- Doppelpost -
und wech... :o)

Ich habe jetzt den vollen Scan durchlaufen lassen,die Logfiles gespeichert und
den Inhalt gelöscht.
Hier die Logfiles:

Code:

Malwarebytes' Anti-Malware 1.30

Datenbank Version: 1331

Windows 5.1.2600 Service Pack 3
 

28.10.2008 18:17:21

mbam-log-2008-10-28 (18-17-02).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 122104

Laufzeit: 28 minute(s), 6 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 4

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ati6ddxx (Rootkit.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ati6ddxx (Rootkit.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati6ddxx (Rootkit.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Trojan.Agent) -> No action taken.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\drivers\ati6ddxx.sys (Rootkit.Agent) -> No action taken.

Hir die Virustotal-Auswertungen:

C:\WINDOWS\system32\Drivers\ati6ddxx.sys

0 bytes size received / Se ha recibido un archivo vacio

C:\WINDOWS\system32\Drivers\ati0wwxx.sys

-habe diese Datei nicht unter diesem Pfad gefunden

Hallo root24,

ich bin wieder am Platz und meine Trojaner leider auch !!!

Makie

OH,root24,leider bist du offline und wie geht es nun weiter mit meinen Trojanern!?

Makie:headbang:

Weiter gehts:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

registry keys to delete:

HKLM\SYSTEM\ControlSet001\Services\ati6ddxx

HKLM\SYSTEM\ControlSet002\Services\ati6ddxx

HKLM\SYSTEM\CurrentControlSet\Services\ati6ddxx

HKLM\SYSTEM\CurrentControlSet\Services\tcpsr
 

drivers to delete:

ati6ddxx

ati0wwxx
 

files to delete:

C:\WINDOWS\system32\Drivers\ati6ddxx.sys

C:\WINDOWS\system32\Drivers\ati0wwxx.sys

http://mitglied.lycos.de/efunction/tb/avenger.png

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
Schick mir die Datei c:\avenger\backup.zip bitte per Mail, damit ich die Dateien auswerten kann

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKLM\SYSTEM\ControlSet001\Services\ati6ddxx" deleted successfully.
Registry key "HKLM\SYSTEM\ControlSet002\Services\ati6ddxx" deleted successfully.

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\ati6ddxx" not found!
Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\ati6ddxx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKLM\SYSTEM\CurrentControlSet\Services\tcpsr" deleted successfully.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\ati6ddxx" not found!
Deletion of driver "ati6ddxx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "ati0wwxx" deleted successfully.
File "C:\WINDOWS\system32\Drivers\ati6ddxx.sys" deleted successfully.

Error: file "C:\WINDOWS\system32\Drivers\ati0wwxx.sys" not found!
Deletion of file "C:\WINDOWS\system32\Drivers\ati0wwxx.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.

*******************

Finished! Terminate.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:38:07, on 29.10.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programme\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\AGEIA Technologies\TrayIcon.exe

C:\Programme\Kalenderchen\Kalenderchen.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE

C:\PROGRA~1\Magentic\bin\MgApp.exe

C:\Programme\IncrediMail\bin\ImApp.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Dokumente und Einstellungen\Makie\Eigene Dateien\Downloads\qlketzd.com
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.magentic.com/german/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

O3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AGEIA PhysX SysTray] "C:\Programme\AGEIA Technologies\TrayIcon.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [DMS-Kalenderchen] C:\Programme\Kalenderchen\Kalenderchen.exe /autorun

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [GMX_GMX MultiMessenger] "C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" /hide

O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Programme\IncrediMail\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: Link to &MidpX - C:\Programme\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195483418546

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1195483394765

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
 

--

End of file - 5439 bytes

Code:

O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

Kwyshell? Ist mir das vorhin nicht aufgefallen? :confused:
Sieht irgendwie :balla: aus. Wenn Du das Teil aber unbedingt brauchst... :rolleyes:

Code:

O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c

InCredimail ist ne bunte Augenkrebsspielerei :balla: Ich würde eher zu Mozilla Thunderbird raten, Mails nur als reinen Text lesen (aus Sicherheitsgründen), ein effektiver lernfähiger Junkfilter wäre da auch bei. (Thunderbird ist Open Source!)

Die Datei ist bei mir angekommen, leider fehlt in diesem Backup.zip, das was ich eigentlich wollte. Und zwar geht es um die vom Avenger gelöschte Datei C:\WINDOWS\system32\Drivers\ati6ddxx.sys - schau mal bitte nach, ob die Datei im Backup.zip bei Dir oder sonstwo drin ist.

Hallo root24,

Kwyshell ist ein Emulator für Handyspiele,das Programm hat mir bisher noch
keine Sorgen bereitet.
Und zur Backup-Datei,dort wird nach einem Passwort verlangt um es zu entpacken.
IncrediMail war mir eigentlich auch immer zu bunt ich versuch es mal mit
Mozilla Thunderbird,vielen Dank für den Tipp!

Gruß Makie

Die backup.zip ist mit dem Standard-Passwort infected geschützt.
Es geht mir eigentlich auch nur um die Datei ati6ddxx.sys, wenn Du irgendwie noch an die rankommst, bitte bei Virustotal auswerten lassen.

Diese Datei existiert nicht mehr auf meinem PC,als ich sie noch hatte sollte ich diese schon einmal bei Virustotal auswerten lassen,hier das Ergebnis:

Hier die Virustotal-Auswertungen:

C:\WINDOWS\system32\Drivers\ati6ddxx.sys

0 bytes size received / Se ha recibido un archivo vacio

Ach, mein Fehler :headbang:

Code:

Driver "ati0wwxx" deleted successfully.

File "C:\WINDOWS\system32\Drivers\ati6ddxx.sys" deleted successfully.
 

Error: file "C:\WINDOWS\system32\Drivers\ati0wwxx.sys" not found!

Die Datei war schon lange nicht mehr da. Vor der Ausführung vom Avenger schon nicht mehr. Nur der eine Registryeintrag noch. Dann kann man auch nix auswerten, kein Wunder also :rolleyes:

root24,ich bin dann erstmal wieder weg,muß um 5:00 Uhr raus!
Herzlichen Dank für deine Hilfe,bis morgen

Makie

Trojaner Problem

Mein A-virus (avira antivir-free antivirus) sagt dass ich mit TR/Obfuscated.326144.19

[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem eine eigenes Thema.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.

Danke. :)

[/edit]

Hallo root24,

bin endlich wieder am Platz,hatte viel zu tun.

Zu unserem Trojaner-Problem:

- beim starten meines PC´s keine AntiVirus-Meldung mehr

- IncrediMail deinstalliert,Mozilla Thunderbird installiert....alles super

Haben wir das Problem jetzt gelöst oder könnte es noch Ärger mit dem Trojaner geben ???

Gruß Makie:daumenhoc

Es sieht aus, als wäre Dein PC wieder sauber. Beachte aber, dass Du nur Sauberkeitsgarantie nach dem Neuaufsetzen hast. :daumenhoc

Ich möchte mich bei dir herzlich bedanken das du mir in den letzten Tagen,deine Freizeit geopfert und mit Rat und Tat beiseite gestanden hast,ich kann nur sagen................EINE SUPER LEISTUNG !!!

Mach so weiter,Gruß Makie:aplaus: