Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   resycled boot (https://www.trojaner-board.de/70654-resycled-boot.html)

polo75 04.03.2009 00:02
resycled boot
 
Hallo leute!

Ich hatte unteranderem die Probleme das ich auf andere Seiten verlinkt wurde, mein Kaspersky konnte sich nicht mehr updaten, ich konnte nicht mehr auf meine Festplatte (resycled\boot.com ist keine zulaessige win32-anwendung) zugreifen und es war alles sehr langsam.

Ich habe mich hier etwas belesen und folgendes gemacht:
Flash Desinfector runtergeladen und ausgeführt und danach ComboFix laufenlassen. Jetzt scheint es hofentlich wieder i.O.zu sein, habe hier aber noch die Log Datei, kann da bitte noch jemand drüber schauen?:

ComboFix 09-03-02.03 - ** 2009-03-03 21:59:01.1 - NTFSx86
ausgeführt von:: c:\dokumente und einstellungen\**\Desktop\ComboFix.exe
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
c:\windows\system32\drivers\gaopdxksiqvnnk.sys
c:\windows\system32\gaopdxpamrflns.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_gaopdxserv.sys


((((((((((((((((((((((( Dateien erstellt von 2009-02-03 bis 2009-03-03 ))))))))))))))))))))))))))))))
.

2009-03-03 20:22 . 2009-03-03 21:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-03 20:02 . 2009-03-03 21:43 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-02-27 21:47 . 2009-02-27 21:47 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-02-27 20:53 . 2009-02-27 20:53 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-27 20:07 . 2008-01-19 16:11 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-02-27 20:07 . 2008-01-19 15:01 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-02-27 20:07 . 2008-01-19 15:01 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-02-27 20:07 . 2009-02-27 21:43 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-02-27 20:07 . 2008-01-19 15:01 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-02-27 20:07 . 2008-01-19 15:01 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-02-27 20:07 . 2008-01-19 15:01 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-02-27 20:07 . 2009-02-27 21:47 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-02-08 16:47 . 2009-02-08 16:47 <DIR> d-------- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-02-08 16:47 . 2009-02-08 16:47 <DIR> d-------- c:\programme\DVDVideoSoft
2009-02-08 16:47 . 2002-01-05 14:37 344,064 --a------ c:\windows\system32\msvcr70.dll
2009-02-06 16:44 . 2009-02-06 16:44 <DIR> d--h----- C:\BJPrinter
2009-02-06 16:44 . 2004-06-15 07:00 116,736 --a------ c:\windows\system32\CNMLM61.DLL
2009-02-06 16:44 . 2004-06-04 17:34 86,016 --a------ c:\windows\system32\CNMCP61.exe
2009-02-06 16:44 . 2004-06-15 07:00 7,680 --a------ c:\windows\system32\CNMVS61.DLL

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2009-03-03 21:06 11,725,088 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-03-03 21:05 494,112 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-03-03 21:03 47,324 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-03-03 21:03 159,080 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-03-03 20:37 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-02-27 19:53 --------- d-----w c:\programme\Java
2009-02-07 17:37 71,152 ----a-w c:\dokumente und einstellungen\Jan und Reeni\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-02-03 22:02 89,601 ----a-w c:\windows\system32\drivers\klick.dat
2009-02-03 22:02 101,287 ----a-w c:\windows\system32\drivers\klin.dat
2009-01-13 20:46 --------- d-----w c:\programme\Google
2009-01-13 20:07 --------- d-----w c:\dokumente und einstellungen\Jan und Reeni\Anwendungsdaten\Leadertech
2009-01-13 19:44 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-01-12 14:24 --------- d-----w c:\programme\Paint.NET
2009-01-11 17:51 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\NVIDIA
2009-01-10 18:09 --------- d-----w c:\programme\Canon
2009-01-10 17:41 --------- d--h--w c:\programme\CanonBJ
2005-05-31 07:52 636,998 ----a-w c:\programme\DVD Shrink 3.2 DE.exe
2001-03-28 10:02 122,880 ----a-w c:\windows\inf\Agfa\message.exe
2008-04-29 10:45 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist0120080429 20080430\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\j usched.exe" [2009-02-27 136600]
"MSConfig"="c:\windows\pchealth\helpctr\Binaries\M SCONFIG.EXE" [2008-04-14 172544]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe" [2008-05-01 221184]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
2006-12-30 09:04 176128 c:\progra~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.dx50"= divx50.dll
"vidc.DIV3"= divxc32.dll
"vidc.DIV4"= divxc32f.dll
"vidc.X264"= x264vfw.dll
"vidc.davc"= davcvfw.dll
"vidc.hfyu"= huffyuv.dll
"msacm.divxa32"= DivXa32.acm
"msacm.l3codec"= l3codecp.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk
backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WISO Urteilsmonitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WISO Urteilsmonitor.lnk
backup=c:\windows\pss\WISO Urteilsmonitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-01-15 16:14 147456 c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-14 06:52 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-26 23:47 31016 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2006-04-13 11:09 49152 c:\programme\CyberLink\PowerDVD\Language\Language. exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 06:52 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 15:40 155648 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-10-22 12:22 86016 c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVRaidService]
-ra------ 2004-06-11 04:15 83968 c:\windows\system32\nvraidservice.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2005-12-07 22:57 30208 c:\programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
--a------ 2007-04-11 14:32 56080 c:\windows\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-12-22 10:09 77824 c:\windows\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"RichVideo"=2 (0x2)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"NMIndexingService"=3 (0x3)
"NBService"=3 (0x3)
"Microsoft Office Groove Audit Service"=3 (0x3)
"gusvc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"24510:TCP"= 24510:TCP:BitComet 24510 TCP
"24510:UDP"= 24510:UDP:BitComet 24510 UDP
"4266:TCP"= 4266:TCP:axyvi

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2007-12-13 24592]
S3 rzbqlswc;rzbqlswc;\??\c:\windows\system32\01.tmp --> c:\windows\system32\01.tmp [?]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - Nla
*Deregistered* - NVSvc
*Deregistered* - plaeixfm
*Deregistered* - PolicyAgent
*Deregistered* - ProtectedStorage
*Deregistered* - RasMan
*Deregistered* - RemoteRegistry
*Deregistered* - RpcSs
*Deregistered* - SamSs
*Deregistered* - Schedule
*Deregistered* - seclogon
*Deregistered* - SENS
*Deregistered* - SharedAccess
*Deregistered* - ShellHWDetection
*Deregistered* - Spooler
*Deregistered* - srservice
*Deregistered* - SSDPSRV
*Deregistered* - stisvc
*Deregistered* - TapiSrv
*Deregistered* - TermService
*Deregistered* - Themes
*Deregistered* - TrkWks
*Deregistered* - WebClient
*Deregistered* - winmgmt
*Deregistered* - WmiApSrv
*Deregistered* - wscsvc
*Deregistered* - wuauserv
*Deregistered* - WudfSvc
*Deregistered* - WZCSVC

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
plaeixfm

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{b3e495d5-7543-11dd-95db-000fea33a9aa}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com o:
\Shell\Open\command - d:\resycled\boot.com o:
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Adobe Photo Downloader - c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
MSConfigStartUp-ICQ Lite - c:\programme\ICQLite\ICQLite.exe
MSConfigStartUp-ISTray - c:\programme\Spyware Doctor\pctsTray.exe
MSConfigStartUp-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe
MSConfigStartUp-TopDesk - c:\programme\TopDesk\topdesk.exe


.
------- Zusätzlicher Suchlauf -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Jan und Reeni\Anwendungsdaten\Mozilla\Firefox\Profiles\g5e bhbee.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.studivz.net/
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npmozax.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-03 22:05:43
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

************************************************** ************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\r zbqlswc]
"ImagePath"="\??\c:\windows\system32\01.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\p laeixfm]
"ServiceDll"="c:\windows\system32\ptwxnifd.dll "
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1024)
c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll
c:\windows\system32\klogon.dll
c:\progra~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll

- - - - - - - > 'lsass.exe'(1080)
c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\dnsq.dll
c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
************************************************** ************************
.
Zeit der Fertigstellung: 2009-03-03 22:12:57 - PC wurde neu gestartet [Jan und Reeni]
ComboFix-quarantined-files.txt 2009-03-03 21:12:53

Vor Suchlauf: 9,751,539,712 Bytes frei
Nach Suchlauf: 9,658,720,256 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Professional" /fastdetect /NoExecute=OptIn /usepmtimer

253


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19