Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Browser hijacked und Explorer startet nicht (https://www.trojaner-board.de/67455-browser-hijacked-explorer-startet.html)

ElComandante 29.12.2008 14:19
Browser hijacked und Explorer startet nicht
 
Ich habe seit einiger Zeit Probleme mit einer Hand voll Trojanern. Denk ich zumindest. Es ploppen unkontrolliert Werbeseiten auf und der Explorer startet weder nach dem Hochfahren des Betriebssystems, noch lässt er sich beim Herunterfahren normal beenden. Ich muss den jedes mal von Hand "sofort beenden".
Ich habe einige Male Spybot und Ad-Aware durchlaufen lassen, die finden auch jedes mal jede Menge Malware und ein paar Trojaner, aber eben immer wieder die selben, die sich scheinbar nicht löschen lassen. Antivir findet zumindest nichts mehr. Davon kann ich mir aber auch nich viel kaufen, danke Antivir ;). Für Hilfe wäre ich sehr dankbar ! :)

Hier das HijackThis-Logfile:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:14:55, on 29.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Neue Programme\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Neue Programme\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\avmwlanstick\FRITZWLANMini.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Neue Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
G:\Neue Programme\WinAmp Pro\Winamp\winamp.exe
C:\Neue Programme\Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
G:\Neue Programme\Trillian\trillian.exe
C:\Neue Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://conn.skype.com/
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Neue Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\NEUEPR~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\NEUEPR~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: qagccd.dll qprdnn.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Neue Programme\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Neue Programme\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 5497 bytes

Aggro Berlin 29.12.2008 14:27
Hallo,
1.)Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2.)bitte deinstalliere:
-Spybot S&D
-Ad-Aware
3.) Folgende Dateien bitte bei Virustotal überprüfen lassen:

Code:
C:\WINDOWS\system32\wscntfy.exe
Ergebnis anschließend hier posten!

4.) Versteckte Dateien anzeigen lassen (Arbeitsplatz -> Extras -> Ordneroptionen -> Ansicht -> Alle Dateien und Ordner anzeigen -> Hacken setzen)

5.) Kann das sein, dass du mit eMule saugst und das Problem erst auftrat als du irgendwas heruntergeladen hast?

6.)Malwarebytes' Anti-Malware:

 Downloade dir MalwareBytes herunter
 Installiere es
 Befolge die Anleitung (führe einen kompletten Scan aus!)

http://saved.im/mtc5mth3amc0/maware_loeschen.png

 Poste den entstandenen Log

7.)ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]

ElComandante 29.12.2008 17:14
Danke für die schnelle Antwort !
Die Systemwiederherstellung war bereits deaktiviert. Hm.

Virustotal.com scheint zur Zeit nicht erreichbar zu sein. (Geblockt von irgendeinem Mist auf meiner Festplatte kann das aber fieserweise nich werden oder !?^^)

Na, ich sauge ja, aber nicht mit Emule. Ich werd mir das schon dabei eingefangen haben, keine Frage.

Hier der mbam-Log:

Code:
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1567
Windows 5.1.2600 Service Pack 3

29.12.2008 16:42:58
mbam-log-2008-12-29 (16-42-54).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 60849
Laufzeit: 6 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 7
Infizierte Registrierungsschlüssel: 19
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 25

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\nnnopppm.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\sirmqbhj.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\qagccd.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\qprdnn.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\xxyaxUom.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\jbevrvlv.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\tbhlns.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyaxuom (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99ab2a0d-2c4f-4bbb-bab0-a22a20a21258} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{99ab2a0d-2c4f-4bbb-bab0-a22a20a21258} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d6831875-82a4-4f01-bb43-03871e59b945} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d6831875-82a4-4f01-bb43-03871e59b945} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{91eb670f-417b-4873-be4b-1c108c3fe3cf} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{63ab44f9-c005-46f6-9393-d7b9d4b7a6d2} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d6831875-82a4-4f01-bb43-03871e59b945} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{99ab2a0d-2c4f-4bbb-bab0-a22a20a21258} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\585a9459 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Security Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\nnnopppm -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\nnnopppm  -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\xxyaxUom.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\tbhlns.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\nnnopppm.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\mppponnn.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\mppponnn.ini2 (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\erbdkros.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\sorkdbre.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\sirmqbhj.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\jhbqmris.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\tutqtloh.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\holtqtut.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ywoxwuok.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\kouwxowy.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\qagccd.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\qprdnn.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jbevrvlv.dll (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q0K7A8U4\divx[1] (Trojan.Vundo.H) -> No action taken.
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Q0K7A8U4\index[1] (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\UTQLL7ZA\divx[1] (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\UTQLL7ZA\upd105320[1] (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\gjxdsx.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\gttidbtb.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\igevdare.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\xmrrtnma.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken.
Ich hab die gefundenen Objekte entfernen lassen und einen 2. Scan gemacht. Danach fand er auch anch einem Reboot nichts mehr.

ComboFix-Log:

Code:
ComboFix 08-12-28.04 - Administrator 2008-12-29 17:06:23.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1033.18.767.500 [GMT 1:00]
Running from: c:\documents and settings\Administrator\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
 * Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((  Other Deletions  )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\GQXwDJlm.ini
c:\windows\system32\GQXwDJlm.ini2
c:\windows\system32\qgqgiuib.ini

----- BITS: Possible infected sites -----

hxxp://childhe.com
.
(((((((((((((((((((((((((  Files Created from 2008-11-28 to 2008-12-29  )))))))))))))))))))))))))))))))
.

2008-12-29 17:09 . 2008-12-29 17:09        <DIR>        d--------        c:\windows\system32\xircom
2008-12-29 17:09 . 2008-12-29 17:09        <DIR>        d--------        c:\program files\microsoft frontpage
2008-12-29 16:19 . 2008-12-29 16:19        <DIR>        d--------        c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-29 16:19 . 2008-12-29 16:19        <DIR>        d--------        c:\documents and settings\Administrator\Application Data\Malwarebytes
2008-12-29 16:19 . 2008-12-03 19:52        38,496        --a------        c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-29 16:19 . 2008-12-03 19:52        15,504        --a------        c:\windows\system32\drivers\mbam.sys
2008-12-28 21:27 . 2008-12-28 21:27        <DIR>        d--------        c:\program files\Avira
2008-12-28 21:27 . 2008-12-28 21:27        <DIR>        d--------        c:\documents and settings\All Users\Application Data\Avira
2008-12-27 15:09 . 2008-12-27 15:09        <DIR>        d--------        c:\program files\Common Files\Skype
2008-12-27 15:09 . 2008-12-27 15:09        <DIR>        d--------        c:\documents and settings\All Users\Application Data\Skype
2008-12-27 15:09 . 2008-12-28 11:23        <DIR>        d--------        c:\documents and settings\Administrator\Application Data\Skype
2008-12-27 15:08 . 2008-12-27 15:09        <DIR>        d--------        c:\program files\Skype
2008-12-27 14:58 . 2008-12-27 14:58        <DIR>        d--------        c:\documents and settings\Administrator\Application Data\teamspeak2
2008-12-27 14:58 . 2008-12-27 14:58        34,064        --a------        c:\windows\system32\lhacm.acm
2008-12-27 14:05 . 2008-12-27 14:05        95        --a------        c:\windows\wininit.ini
2008-12-27 12:12 . 2008-12-29 15:55        <DIR>        d--------        c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-24 22:16 . 2008-12-24 22:16        223,128        --a------        c:\windows\system32\drivers\vaxscsi.sys
2008-12-24 00:08 . 2008-12-24 12:32        69,632        --a------        c:\windows\ScUnin.exe
2008-12-24 00:08 . 2008-12-24 12:32        34,001        --a------        c:\windows\scunin.dat
2008-12-24 00:08 . 2008-12-24 12:32        967        --a------        c:\windows\ScUnin.pif
2008-12-24 00:06 . 2008-12-24 00:06        <DIR>        d--------        c:\windows\system32\LogFiles
2008-12-11 12:09 . 2008-08-30 03:14        990,208        --a------        c:\windows\system32\syssetup.dll
2008-12-11 12:09 . 2008-12-11 12:09        7,306        --a------        c:\windows\system32\oemlogo.bmp
2008-12-11 12:09 . 2008-12-11 12:09        167        --a------        c:\windows\system32\oeminfo.ini
2008-12-11 11:58 . 2008-12-11 11:58        361,344        --a------        c:\windows\system32\drivers\tcpip.sys
2008-12-11 11:58 . 2008-12-11 11:58        218,624        --a------        c:\windows\system32\uxtheme.dll
2008-12-11 11:58 . 2008-12-11 11:58        140,288        --a------        c:\windows\system32\sfc_os.dll

.
((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-29 14:55        ---------        d-----w        c:\documents and settings\All Users\Application Data\Lavasoft
2008-12-28 20:21        ---------        d---a-w        c:\documents and settings\All Users\Application Data\TEMP
2008-12-28 15:25        ---------        d-----w        c:\documents and settings\Administrator\Application Data\uTorrent
2008-12-26 18:54        ---------        d--h--w        c:\program files\InstallShield Installation Information
2001-01-02 22:37        32,768        --sha-w        c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012001010220010103\index.dat
.

(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="c:\program files\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 343552]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-23 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"_nltide_3"="advpack.dll" [2008-06-23 c:\windows\system32\advpack.dll]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=qagccd.dll qprdnn.dll tbhlns.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages        REG_MULTI_SZ          msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-11-12 11:48 157592 c:\neue programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 2006-12-18 17:32 25365032 c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
-ra------ 2002-10-15 18:00 1818624 c:\windows\mixer.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Neue Programme\\Die Gilde\\gilde.exe"=
"g:\\Neue Programme\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 NwSapAgent;SAP Agent;c:\windows\system32\svchost.exe -k netsvcs [4/14/2008 5:42:38 AM 14336]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [1/3/2001 12:34:25 AM 264704]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c930609a-e106-11d4-ad45-fea17e729f33}]
\Shell\AutoRun\command - G:\pushinst.exe
.
Contents of the 'Scheduled Tasks' folder

2008-12-29 c:\windows\Tasks\ughggmpu.job
- c:\windows\system32\rundll32.exe [2008-04-14 05:42]
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-585a9459 - c:\windows\system32\ywoxwuok.dll
MSConfigStartUp-WinampAgent - e:\neue programme\WinAmp Pro\Winamp\winampa.exe


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = hxxp://conn.skype.com/
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Administrator\Application Data\Mozilla\Firefox\Profiles\5ps89mmv.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - google.de
FF - plugin: c:\neue programme\AdobeAcrobat\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-29 17:10:03
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(780)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\neue programme\Alcohol 120\StarWind\StarWindService.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2008-12-29 17:11:46 - machine was rebooted
ComboFix-quarantined-files.txt  2008-12-29 16:11:41

Pre-Run: 131.515.957.248 bytes free
Post-Run: 131,425,759,232 bytes free

148
Also bis jetzt ist keines der Probleme wieder aufgetreten. Es ploppen keine Werbeseiten mehr auf und der Explorer macht auch das, was er soll.


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131