Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   der nächste TR/Dldr.Dadobra.bpa in System32\Tools\Regexe.exe (https://www.trojaner-board.de/64368-naechste-tr-dldr-dadobra-bpa-system32-tools-regexe-exe.html)

lilchilla 12.11.2008 23:08
der nächste TR/Dldr.Dadobra.bpa in System32\Tools\Regexe.exe
 
Guten Abend,

mein AntivirPE hat heute Nachmittag - wie gestern schon im Thread von sklerrer beschrieben - einen Treffer gemeldet:
TR/Dldr.Dadobra.bpa in C:\Windows\System32\Tools\Regexe.exe.

Leider habe ich das Ding direkt mit AntivirPE entfernt und bin erst beim anschließenden googeln auf diese Seite gestoßen, habe also kein HiJack-Log im Angebot. Habe mich anschließend allerdings an die Vorgehensweise aus dem sklerrer-Thread gehalten und poste jetzt mal nacheinander die Logs, die ich habe:

MBR:
Code:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Blacklight und Malwarebyte:
Code:
11/12/08 20:19:03 [Info]: BlackLight Engine 2.2.1092 initialized
11/12/08 20:19:03 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/12/08 20:19:03 [Note]: 7019 4
11/12/08 20:19:03 [Note]: 7005 0
11/12/08 20:19:09 [Note]: 7006 0
11/12/08 20:19:09 [Note]: 7011 1960
11/12/08 20:19:09 [Note]: 7035 0
11/12/08 20:19:09 [Note]: 7026 0
11/12/08 20:19:09 [Note]: 7026 0
11/12/08 20:19:10 [Note]: FSRAW library version 1.7.1024
11/12/08 20:19:43 [Note]: 7007 0
Code:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1390
Windows 5.1.2600 Service Pack 3

12.11.2008 21:55:10
mbam-log-2008-11-12 (21-55-00).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|K:\|)
Durchsuchte Objekte: 168417
Laufzeit: 34 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\Software-Dateien (EXEs)\Nero 8.3 Keygen.exe (Trojan.Agent) -> No action taken.
G:\System Volume Information\_restore{D8C7EDA9-5C8C-460B-B91B-D2C7C5262566}\RP60\A0022610.exe (Trojan.Agent) -> No action taken.
G:\DonkeyDownloadsNeu\UseNex\wizard\Nero 8.3.2.1. Ultra Edition German inkl. Keygen +\Keygen NEW.exe (Trojan.Agent) -> No action taken.
G:\Eigene D\Stuff\!appz\WinAmp 2 & 5\Winamp 5.03 Pro + Crack\cr-x0470\CORE10k.EXE (Trojan.Agent) -> No action taken.
SilentRunners:
http://www.file-upload.net/download-...unner.rar.html

ComboFix:
Code:
ComboFix 08-11-11.01 - Admin 2008-11-12 22:11:07.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.1354 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe
.

(((((((((((((((((((((((  Dateien erstellt von 2008-10-12 bis 2008-11-12  ))))))))))))))))))))))))))))))
.

2008-11-12 20:20 . 2008-11-12 20:20        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-12 20:20 . 2008-11-12 20:20        <DIR>        d--------        c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2008-11-12 20:20 . 2008-10-22 16:10        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-12 20:20 . 2008-10-22 16:10        15,504        --a------        c:\windows\system32\drivers\mbam.sys
2008-11-12 16:55 . 2008-11-12 16:55        754        --a------        c:\windows\WORDPAD.INI
2008-11-12 16:40 . 2008-11-12 16:40        <DIR>        d--------        c:\dokumente und einstellungen\Admin\Anwendungsdaten\Canneverbe_Limited
2008-11-09 16:12 . 2008-11-09 16:12        <DIR>        d--------        c:\programme\Java jre6
2008-11-09 16:12 . 2008-11-09 16:12        410,976        --a------        c:\windows\system32\deploytk.dll
2008-11-09 16:12 . 2008-11-09 16:12        73,728        --a------        c:\windows\system32\javacpl.cpl
2008-11-09 15:04 . 2008-11-09 15:04        <DIR>        d--------        c:\dokumente und einstellungen\Admin\Anwendungsdaten\GMX
2008-11-09 14:42 . 2008-11-09 14:42        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\GMX
2008-11-09 14:42 . 2008-07-29 09:43        149,120        --a------        c:\windows\system32\drivers\uigxrdr.SYS
2008-11-09 14:42 . 2008-07-29 09:43        7,680        --a------        c:\windows\system32\uigxnp.dll
2008-11-08 22:59 . 2006-10-17 22:29        487,479        --a------        c:\windows\system32\SkinMagic.dll
2008-11-08 20:44 . 2008-11-09 01:23        <DIR>        d--------        c:\dokumente und einstellungen\Admin\Anwendungsdaten\TrueCrypt
2008-11-08 20:44 . 2008-11-08 20:44        215,616        --a------        c:\windows\system32\drivers\truecrypt.sys
2008-11-08 20:15 . 2008-11-08 20:15        <DIR>        d--------        c:\dokumente und einstellungen\Admin\Anwendungsdaten\streamripper
2008-11-08 15:27 . 2008-11-08 15:32        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2008-11-08 15:27 . 2008-11-08 19:10        <DIR>        d--------        c:\dokumente und einstellungen\Admin\Anwendungsdaten\Spyware Terminator
2008-11-08 15:27 . 2008-11-08 15:27        141,312        --a------        c:\windows\system32\drivers\sp_rsdrv2.sys
2008-11-05 01:33 . 2008-11-05 21:49        <DIR>        d--------        c:\dokumente und einstellungen\Admin\Anwendungsdaten\AdobeUM
2008-11-05 01:22 . 2008-10-24 00:32        <DIR>        d--h-----        c:\dokumente und einstellungen\Gast\Vorlagen
2008-11-05 01:22 . 2008-10-24 01:27        <DIR>        dr-------        c:\dokumente und einstellungen\Gast\Startmenü
2008-11-05 01:22 . 2008-10-24 01:27        <DIR>        d--h-----        c:\dokumente und einstellungen\Gast\Netzwerkumgebung
2008-11-05 01:22 . 2008-11-12 22:11        <DIR>        d--h-----        c:\dokumente und einstellungen\Gast\Lokale Einstellungen
2008-11-05 01:22 . 2008-11-05 01:22        <DIR>        dr-------        c:\dokumente und einstellungen\Gast\Favoriten
2008-11-05 01:22 . 2008-11-05 01:22        <DIR>        dr-------        c:\dokumente und einstellungen\Gast\Eigene Dateien
2008-11-05 01:22 . 2008-10-24 01:27        <DIR>        d--h-----        c:\dokumente und einstellungen\Gast\Druckumgebung
2008-11-05 01:22 . 2008-11-05 01:22        <DIR>        dr-h-----        c:\dokumente und einstellungen\Gast\Anwendungsdaten
2008-11-05 01:22 . 2008-11-05 01:22        <DIR>        d--------        c:\dokumente und einstellungen\Gast
2008-11-04 15:50 . 2008-11-04 15:50        <DIR>        d--------        c:\dokumente und einstellungen\Admin\Anwendungsdaten\Apple Computer
2008-11-04 15:15 . 2008-11-04 15:15        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Apple
2008-11-04 15:15 . 2008-11-04 15:15        <DIR>        d--------        c:\programme\Apple Software Update
2008-11-04 15:15 . 2008-11-04 15:15        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-11-04 15:15 . 2008-11-04 15:15        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2008-11-03 17:59 . 2008-11-03 17:59        94,208        --a------        c:\windows\system32\ScrUnZip.dll
2008-10-31 22:53 . 2008-10-31 22:53        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DynDNS
2008-10-31 20:57 . 2008-10-31 20:57        403        --a------        c:\windows\ODBC.INI
2008-10-31 20:56 . 2008-10-31 20:56        <DIR>        d--------        c:\windows\ShellNew
2008-10-31 16:33 . 2008-10-31 16:33        <DIR>        d--------        c:\dokumente und einstellungen\Admin\WINDOWS
2008-10-31 16:33 . 1998-02-06 20:37        299,520        --a------        c:\windows\uninst.exe
2008-10-31 16:13 . 2008-10-31 16:13        <DIR>        d--------        c:\dokumente und einstellungen\Admin\.sv1
2008-10-31 15:51 . 2008-10-31 15:51        <DIR>        d--------        c:\windows\Downloaded Installations
2008-10-31 14:09 . 2007-03-16 21:50        196,608        --a------        c:\windows\system32\EZCvrtWMA.dll
2008-10-30 08:08 . 1998-10-21 18:43        328,704        --a------        c:\windows\IsUn0407.exe
2008-10-30 08:07 . 2001-08-03 11:21        438,272        -ra------        c:\windows\system32\hpgmatk.dll
2008-10-30 08:07 . 2000-10-09 18:57        102,400        -ra------        c:\windows\system32\hpgmastr.dll
2008-10-30 08:07 . 2001-08-14 13:24        90,112        -ra------        c:\windows\system32\hpsjvset.dll
2008-10-30 08:07 . 2001-08-03 11:23        40,960        -ra------        c:\windows\system32\hpgmausd.dll
2008-10-30 08:07 . 2008-04-13 20:45        15,104        --a------        c:\windows\system32\drivers\usbscan.sys
2008-10-30 08:07 . 2008-04-13 20:45        15,104        --a--c---        c:\windows\system32\dllcache\usbscan.sys
2008-10-30 08:07 . 2001-08-14 13:15        11,185        -ra------        c:\windows\system32\hpgmasti.inf
2008-10-30 04:22 . 2008-11-09 02:56        <DIR>        d--------        c:\dokumente und einstellungen\Admin\Anwendungsdaten\uTorrent
2008-10-30 02:59 . 2008-10-30 02:59        <DIR>        d--------        c:\programme\mresreg
2008-10-29 03:21 . 2008-11-09 03:34        <DIR>        d--------        c:\dokumente und einstellungen\Admin\Anwendungsdaten\UseNeXT
2008-10-29 03:10 . 2008-11-04 22:37        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Adobe
2008-10-29 02:19 . 2008-10-29 02:19        <DIR>        d--------        c:\dokumente und einstellungen\Admin\Anwendungsdaten\JAM Software
2008-10-29 00:33 . 2008-11-04 13:24        <DIR>        d--------        c:\dokumente und einstellungen\Admin\Anwendungsdaten\ICQ
2008-10-29 00:28 . 2008-10-29 00:28        <DIR>        d--------        c:\programme\ICQ
2008-10-28 22:45 . 2008-11-10 12:22        <DIR>        d--------        c:\dokumente und einstellungen\Admin\Anwendungsdaten\FileZilla
2008-10-27 23:16 . 2008-10-27 23:20        <DIR>        d--------        c:\windows\system32\NtmsData
2008-10-27 21:06 . 2008-10-27 21:06        <DIR>        d--------        C:\BM2005
2008-10-25 23:06 . 2008-11-03 13:05        <DIR>        d--------        c:\programme\Yahoo!
2008-10-25 22:08 . 2008-10-25 22:08        <DIR>        dr-------        c:\dokumente und einstellungen\Admin\Anwendungsdaten\Brother
2008-10-25 14:59 . 2008-10-29 00:34        <DIR>        d--------        c:\programme\ICQ6Toolbar
2008-10-25 14:59 . 2008-10-25 14:59        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2008-10-25 14:58 . 2008-10-25 15:00        <DIR>        d--------        c:\programme\ICQ6
2008-10-25 14:52 . 2008-10-25 14:54        <DIR>        d--------        c:\windows\aod
2008-10-25 12:01 . 2008-04-13 19:45        32,128        --a------        c:\windows\system32\drivers\usbccgp.sys
2008-10-25 12:01 . 2008-04-13 19:45        32,128        --a--c---        c:\windows\system32\dllcache\usbccgp.sys
2008-10-25 12:01 . 2008-04-13 19:47        25,856        --a------        c:\windows\system32\drivers\usbprint.sys
2008-10-25 12:01 . 2008-04-13 19:47        25,856        --a--c---        c:\windows\system32\dllcache\usbprint.sys
2008-10-24 23:14 . 2008-10-24 23:14        <DIR>        d--------        c:\windows\Audio 180%
2008-10-24 22:00 . 2008-10-30 19:19        <DIR>        d--------        c:\dokumente und einstellungen\Admin\Anwendungsdaten\Winamp
2008-10-24 21:25 . 2008-08-29 12:19        4,244,744        --a------        c:\windows\system32\qtp-mt334.dll
2008-10-24 21:25 . 2008-08-29 12:19        247,560        --a------        c:\windows\system32\prgiso.dll
2008-10-24 21:25 . 2008-08-29 12:19        40,368        --a------        c:\windows\system32\drivers\hotcore3.sys
2008-10-24 21:25 . 2008-08-29 12:19        13,576        --a------        c:\windows\system32\wnaspi32.dll
2008-10-24 20:40 . 2007-09-20 11:07        888,064        -ra------        c:\windows\system32\drivers\nvnrm.sys
2008-10-24 20:40 . 2007-09-15 02:19        356,352        --a------        c:\windows\system32\nvunrm.exe
2008-10-24 20:40 . 2007-09-20 11:07        195,072        -ra------        c:\windows\system32\fdco1.dll
2008-10-24 20:40 . 2007-09-20 11:07        53,632        -ra------        c:\windows\system32\drivers\NVENETFD.sys
2008-10-24 20:40 . 2007-09-15 02:19        37,376        -ra------        c:\windows\system32\nvconrm.dll
2008-10-24 20:40 . 2007-09-20 11:07        22,016        -ra------        c:\windows\system32\drivers\nvnetbus.sys
2008-10-24 20:40 . 2007-09-20 11:06        9,216        -ra------        c:\windows\system32\bdco1.dll
2008-10-24 20:40 . 2007-09-06 10:10        4,805        --a------        c:\windows\system32\nvnrm.nvu
2008-10-24 19:53 . 2008-10-24 19:53        <DIR>        d--------        c:\windows\system32\de-de
2008-10-24 19:53 . 2008-10-24 19:53        <DIR>        d--------        c:\windows\system32\de
2008-10-24 19:53 . 2008-10-24 19:53        <DIR>        d--------        c:\windows\system32\bits
2008-10-24 19:53 . 2008-10-24 19:53        <DIR>        d--------        c:\windows\l2schemas
2008-10-24 19:52 . 2008-10-24 19:54        <DIR>        d--------        c:\windows\ServicePackFiles
2008-10-24 19:40 . 2008-10-24 19:40        <DIR>        d--------        c:\windows\EHome
2008-10-24 19:34 . 2008-10-24 19:34        82,944        ---------        c:\windows\AKDeInstall.exe
2008-10-24 19:01 . 2008-10-24 19:01        0        --a------        c:\windows\nsreg.dat
2008-10-24 01:27 . 2008-10-24 00:32        <DIR>        d--h-----        c:\dokumente und einstellungen\Default User\Vorlagen
2008-10-24 01:27 . 2008-10-24 01:27        <DIR>        dr-------        c:\dokumente und einstellungen\Default User\Startmenü
2008-10-24 01:27 . 2008-10-24 01:27        <DIR>        d--h-----        c:\dokumente und einstellungen\Default User\Netzwerkumgebung
2008-10-24 01:27 . 2008-10-24 01:27        <DIR>        dr-h-----        c:\dokumente und einstellungen\Default User\Lokale Einstellungen
2008-10-24 01:27 . 2008-10-24 01:27        <DIR>        d--------        c:\dokumente und einstellungen\Default User\Favoriten
2008-10-24 01:27 . 2008-10-24 01:27        <DIR>        d--h-----        c:\dokumente und einstellungen\Default User\Druckumgebung
2008-10-24 01:27 . 2008-10-24 01:27        <DIR>        dr-h-----        c:\dokumente und einstellungen\Default User\Anwendungsdaten
2008-10-24 01:27 . 2008-11-12 22:05        <DIR>        d--h-----        c:\dokumente und einstellungen\Default User
2008-10-24 01:27 . 2008-10-24 01:27        <DIR>        d--h-----        c:\dokumente und einstellungen\All Users\Vorlagen
2008-10-24 01:27 . 2008-11-03 20:35        <DIR>        dr-------        c:\dokumente und einstellungen\All Users\Startmenü
2008-10-24 01:27 . 2008-10-24 01:27        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Favoriten
2008-10-24 01:27 . 2008-10-29 03:11        <DIR>        dr-------        c:\dokumente und einstellungen\All Users\Dokumente
2008-10-24 01:27 . 2008-11-12 20:20        <DIR>        dr-h-----        c:\dokumente und einstellungen\All Users\Anwendungsdaten
2008-10-24 01:27 . 2008-10-24 00:35        <DIR>        d--------        c:\dokumente und einstellungen\All Users
2008-10-24 01:00 . 2008-10-30 18:33        <DIR>        d---s----        c:\dokumente und einstellungen\Admin\UserData

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-31 19:56        ---------        d-----w        c:\programme\microsoft frontpage
2008-10-25 13:59        ---------        d--h--w        c:\programme\InstallShield Installation Information
2008-10-24 20:18        ---------        d-----w        c:\programme\Gemeinsame Dateien\InstallShield
2008-10-24 00:02        ---------        d-----w        c:\programme\SPF
2008-10-23 23:55        ---------        d-----w        c:\dokumente und einstellungen\Admin\Anwendungsdaten\InstallShield
2008-10-23 23:52        ---------        d-----w        c:\programme\VIA
2008-10-23 23:43        ---------        d-----w        c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-23 23:42        ---------        d-----w        c:\programme\Avira
2008-10-23 23:42        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-10-23 23:34        ---------        d-----w        c:\programme\Online-Dienste
2008-10-23 23:34        ---------        d-----w        c:\programme\Gemeinsame Dateien\Dienste
2008-09-22 09:19        1,462,272        ----a-w        c:\windows\system32\ExTree.dll
2008-09-16 12:39        851,968        ----a-w        c:\windows\system32\ExFileVw.dll
2008-09-15 15:24        1,846,528        ----a-w        c:\windows\system32\win32k.sys
2008-08-20 05:08        671,744        ----a-w        c:\windows\system32\wininet.dll
2008-08-14 13:19        2,147,840        ----a-w        c:\windows\system32\ntoskrnl.exe
2008-08-14 13:19        2,026,496        ----a-w        c:\windows\system32\ntkrnlpa.exe
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Copernic Desktop Search - Home"="d:\programme\Copernic Desktop Search - Home\DesktopSearchService.exe" [2008-09-18 1698816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SmcService"="c:\progra~1\SPF\smc.exe" [2004-02-24 2372760]
"HDAudDeck"="c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe" [2007-12-20 7151616]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]
"AutoShutdownManager"="d:\programme\System-Tools\Auto Shutdown Manager\AutoShutdownManager.exe" [2008-08-06 1134592]
"QuickTime Task"="d:\programme\QTTask.exe" [2008-09-06 413696]
"KMConfig"="d:\programme\System-Tools\StartAutorun.exe" [2007-03-06 212992]
"SunJavaUpdateSched"="c:\programme\Java jre6\bin\jusched.exe" [2008-11-09 136600]
"nwiz"="nwiz.exe" [2007-10-04 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - d:\programme\Acrobat Professional 6\Distillr\acrotray.exe [2003-05-15 217193]
DynDNS Updater Tray Icon.lnk - d:\programme\FTP Server\DynDNS Updater\DynTray.exe [2008-06-23 86016]
FileZilla START STOP.lnk - d:\programme\FileZilla Server\FileZilla server.exe [2008-07-30 587776]
Microsoft Office.lnk - d:\programme\Microsoft Office\Office\OSA9.EXE [1999-02-18 65588]
Yahoo! Widgets.lnk - d:\programme\Yahoo! Widgets\YahooWidgets.exe [2007-11-20 3730472]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-10-04 09:14 81920 c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 d:\programme\audio\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Programme\\VIA\\VIAudioi\\HDADeck\\HDeck.exe"=
"d:\\Programme\\ICQ6\\ICQ.exe"=
"d:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=

R0 hotcore3;hotcore3;c:\windows\system32\drivers\hotcore3.sys [2008-08-29 40368]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2008-11-08 141312]
R1 uigxrdr;uigxrdr;c:\windows\system32\DRIVERS\uigxrdr.sys [2008-07-29 149120]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
R2 KMWDSERVICE;Keyboard And Mouse Communication Service;d:\programme\System-Tools\KMWDSrv.exe [2007-05-08 2179072]
R3 brfilt;Brother MFC-Filtertreiber;c:\windows\system32\Drivers\Brfilt.sys [2001-08-17 2944]
R3 BrSerWDM;Brother-Treiber (seriell);c:\windows\system32\Drivers\BrSerWdm.sys [2003-03-14 61952]
R3 BrUsbMdm;Brother MFC-nur-Fax-Modem (USB);c:\windows\system32\Drivers\BrUsbMdm.sys [2001-08-17 11008]
R3 BrUsbScn;Brother MFC-Scannertreiber (USB);c:\windows\system32\Drivers\BrUsbScn.sys [2001-08-17 10368]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2007-12-12 212992]
S2 ASDM_Service;ASDM_Service;d:\programme\System-Tools\Auto Shutdown Manager\Services\AutoShutdownManager_Service.exe [2008-08-06 53248]
S2 DynDNS Updater;DynDNS Updater;d:\programme\FTP Server\DynDNS Updater\DynUpSvc.exe [2008-06-23 65536]

*Newly Created Service* - CATCHME
*Newly Created Service* - MBR
*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\rws2r12o.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
FF -: plugin - c:\programme\Java jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - c:\programme\Java jre6\bin\new_plugin\npjp2.dll
FF -: plugin - d:\programme\Acrobat Professional 6\Acrobat\browser\nppdf32.dll
FF -: plugin - d:\programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF -: plugin - d:\programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npdeploytk.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npdeploytk.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npnul32.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npnul32.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\nppdf32.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\nppdf32.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\nppl3260.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\nppl3260.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npqtplugin.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npqtplugin.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npqtplugin2.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npqtplugin2.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npqtplugin3.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npqtplugin3.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npqtplugin4.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npqtplugin4.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npqtplugin5.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npqtplugin5.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npqtplugin6.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npqtplugin6.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npqtplugin7.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npqtplugin7.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\nprpjplug.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\nprpjplug.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npyaxmpb.dll
FF -: plugin - d:\programme\Mozilla Firefox\plugins\npyaxmpb.dll
FF -: plugin - d:\programme\Plugins\npqtplugin.dll
FF -: plugin - d:\programme\Plugins\npqtplugin2.dll
FF -: plugin - d:\programme\Plugins\npqtplugin3.dll
FF -: plugin - d:\programme\Plugins\npqtplugin4.dll
FF -: plugin - d:\programme\Plugins\npqtplugin5.dll
FF -: plugin - d:\programme\Plugins\npqtplugin6.dll
FF -: plugin - d:\programme\Plugins\npqtplugin7.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-12 22:11:33
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HDAudDeck = c:\programme\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-11-12 22:11:45
ComboFix-quarantined-files.txt  2008-11-12 21:11:43
ComboFix2.txt  2008-11-12 21:05:59

Vor Suchlauf: 9.988.980.736 Bytes frei
Nach Suchlauf: 9,980,067,840 Bytes frei

257        --- E O F ---        2008-10-24 23:45:31
Habe ich das Ding weggekriegt?
Könnt Ihr damit überhaupt etwas anfangen ohne HiJack-Logs?

Im Voraus Danke für Eure Mühe!!
Schönen Abend
lil

Silent sharK 12.11.2008 23:16
Zitat:
D:\Software-Dateien (EXEs)\Nero 8.3 Keygen.exe (Trojan.Agent) -> No action taken.
G:\DonkeyDownloadsNeu\UseNex\wizard\Nero 8.3.2.1. Ultra Edition German inkl. Keygen +\Keygen NEW.exe
G:\Eigene D\Stuff\!appz\WinAmp 2 & 5\Winamp 5.03 Pro + Crack\cr-x0470\CORE10k.EXE (Trojan.Agent) -> No action taken.
:pfui::pfui::pfui: Besonders, wenns auch eine Freeware-Version davon gibt.
Was du machen sollst? System plattmachen, Windows neuinstallieren.

mfg

lilchilla 12.11.2008 23:31
Danke für die *extrem* schnelle Antwort.. Bei mir läuft sogar die Freeware, weiß der Geier warum ich die Pros noch habe.
Warum aber "no action" wenn er die als Trojaner erkennt?
Ich habe diese exe-Dateien bisher nicht ausgeführt, System wurde nämlich gerade neu aufgesetzt..

Trotzdem plattmachen?

Silent sharK 12.11.2008 23:36
Wenn die KeyGens nicht ausgeführt worden sind, hast du nochmal Glück gehabt.
Durch solche Cracks, bzw. Warez allg. kannst du dir Infektionen einfangen, von denen du noch wochenlang danach Alpträume haben wirst. ;)

Btw. die Logfiles sind soweit in Ordnung.

lilchilla 12.11.2008 23:40
Besten Dank!
Das mit den wochenlangen schlaflosen Nächten weiß ich inzwischen.. dieses System musste ich mehrmals neu aufsetzen wegen dem Dreck, die Dateien sind noch Altlasten die ich noch aussortieren muss.

Aber der Pfad G:\System Volume Information\_restore{D8C7EDA9-5C8C-460B-B91B-D2C7C5262566}\RP60\A0022610.exe
führt ins Leere, was mach ich damit?

Silent sharK 12.11.2008 23:59
Zitat:
dieses System musste ich mehrmals neu aufsetzen wegen dem Dreck,
Hat der "Dreck" eine genaue Bezeichnung? ;)
Zitat:
Aber der Pfad G:\System Volume Information\_restore{D8C7EDA9-5C8C-460B-B91B-D2C7C5262566}\RP60\A0022610.exe
führt ins Leere, was mach ich damit?
Systemwiederherstellung deaktivieren
Gehe auf Start => Rechtsklick auf Arbeitsplatz => Systemwiederherstellung => Haken setzen bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => Rechner rebooten => Haken wieder entfernen, falls du das willst

lilchilla 13.11.2008 00:05
Der "Dreck" hatte vor einigen Wochen den Namen Dldr.Agent.Wasweißich, aber das war eben eher allgemein gemeint (Warez unzo.. ;) )
Ich habe wochenlang die Abende mit Neuinstallationen verbracht :balla:
Ich glaube ich lasse die Systemwiederherstellung aus.. denn immer wenn ich sie bisher gebraucht habe hat sie eh nicht funktioniert..

Silent sharK 13.11.2008 00:08
Na, diese eher ungenauen Agent-Downloader sind ja noch einigermaßen lieb, ich hab noch viel komplexere Infizierungen erlebt. ;)
Zitat:
Ich glaube ich lasse die Systemwiederherstellung aus.. denn immer wenn ich sie bisher gebraucht habe hat sie eh nicht funktioniert..
Ich persönlich benötige sie auch nicht, die SWH frisst sowieso nur Speicher weg.

lilchilla 13.11.2008 00:14
Ich habe es damals nicht auf die Reihe gekriegt, das Ding wegzubekommen, irgendwann wars mir dann zu blöd und ich habs auf die harte Tour gemacht.. aber das wurde ja langsam zur neverending Story, deswegen jetzt DRINGEND beschränktes Benutzerkonto einrichten ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:48 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55