Trojaner-Board - Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Internetzugang Missbruacht durch Virus, spam und Fehlermeldungen (https://www.trojaner-board.de/80037-internetzugang-missbruacht-virus-spam-fehlermeldungen.html)

Ich habe eine Xp boot Cd.

Leider geht combofix zurzeit nicht und ist nicht verfüg bar.

Soll ich warten bis es wieder verfügbar ist oder schon die anderen schritte druchgehen?

Hi,

lasse Combofix erstmal weg und verfahre wie vorgeschlagen (mbr /f) und Dr. Web (der kann auch mit dem rootkit umgehen)...

CF ist wegen Problemen mit diesem netten Teil offline...

Die XP-CD brauchen wir, um gff. von der zu booten und die notwendigen Dateien von der CD auf den Rechner kopieren zu können (atapi.sys und svchost.exe)... Wenn Dr. Web nicht weiterkommt...

Poste auf jeden Fall den Log von Dr. Web...

chris

Combofix log:

Code:

ComboFix 09-12-20.08 - Simon 21.12.2009  21:46:13.2.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1701 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Simon\Desktop\ComboFix.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert 

Kopie von - c:\windows\system32\dllcache\atapi.sys wurde wiederhergestellt 
 

Infizierte Kopie von c:\windows\system32\drivers\ndis.sys wurde gefunden und desinfiziert 

Kopie von - c:\windows\ServicePackFiles\i386\ndis.sys wurde wiederhergestellt

.

(((((((((((((((((((((((   Dateien erstellt von 2009-11-21 bis 2009-12-21  ))))))))))))))))))))))))))))))

.
 

2009-12-11 14:59 . 2009-12-11 14:59        --------        d-----w-        c:\windows\system32\config\systemprofile\Anwendungsdaten\Yahoo!

2009-12-09 14:16 . 2009-12-09 14:16        77312        ----a-w-        c:\dokumente und einstellungen\Simon\mbr.exe

2009-12-07 20:44 . 2009-12-07 20:44        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft

2009-12-07 20:44 . 2009-12-07 20:44        --------        d-----w-        c:\programme\DVDVideoSoft

2009-12-04 18:13 . 2009-12-04 18:13        --------        d-----w-        C:\rsit

2009-12-04 14:47 . 2009-12-03 15:14        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-12-04 14:47 . 2009-12-04 14:47        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2009-12-04 14:47 . 2009-12-03 15:13        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-12-02 13:12 . 2009-12-02 13:12        212224        -c--a-w-        c:\windows\system32\dllcache\ndis.sys

2009-12-02 13:09 . 2009-12-02 13:09        --------        d-----w-        c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\TouchStoneSoftware

2009-11-30 00:02 . 2008-10-21 18:22        276443        ----a-w-        c:\windows\Scheduler.exe

2009-11-29 14:42 . 2009-11-29 14:42        --------        d-----w-        c:\programme\Phoenix Technologies

2009-11-29 14:20 . 2009-11-29 14:20        --------        d-----w-        c:\windows\system32\wbem\Repository

2009-11-27 15:48 . 2009-11-29 14:19        --------        d-----w-        c:\programme\Ontrack
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-21 21:09 . 2001-08-23 12:00        84326        ----a-w-        c:\windows\system32\perfc007.dat

2009-12-21 21:09 . 2001-08-23 12:00        458822        ----a-w-        c:\windows\system32\perfh007.dat

2009-12-21 20:39 . 2004-08-03 21:59        148768        ----a-w-        c:\windows\system32\drivers\atapi.sys

2009-12-21 20:33 . 2009-03-08 14:35        --------        d-----w-        c:\programme\Trillian

2009-12-21 17:58 . 2009-03-08 14:43        --------        d-----w-        c:\programme\Steam

2009-12-19 15:39 . 2009-08-25 19:57        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Free Download Manager

2009-12-18 16:56 . 2009-03-08 15:42        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Skype

2009-12-18 16:29 . 2009-03-08 15:44        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\skypePM

2009-12-07 12:25 . 2009-12-01 17:26        79488        ----a-w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll

2009-12-05 12:15 . 2009-10-25 18:43        --------        d-----w-        c:\programme\Trellian

2009-12-04 18:58 . 2009-03-08 11:45        --------        d-----w-        c:\programme\Opera

2009-12-03 20:42 . 2009-05-27 17:36        --------        d-----w-        c:\programme\Acoustica Mixcraft 4

2009-12-02 13:12 . 2004-08-03 22:14        212224        ----a-w-        c:\windows\system32\drivers\ndis.sys

2009-12-02 13:12 . 2009-12-02 13:12        12        ----a-w-        c:\windows\system32\config\systemprofile\Anwendungsdaten\hlusyf.dat

2009-12-02 13:11 . 2009-12-02 13:11        4        ----a-w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\avdrn.dat

2009-12-01 22:05 . 2009-09-27 21:35        --------        d-----w-        c:\programme\VstPlugins

2009-11-27 15:48 . 2009-03-08 11:01        --------        d--h--w-        c:\programme\InstallShield Installation Information

2009-11-15 19:30 . 2009-11-13 18:36        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\PACE Anti-Piracy

2009-11-15 19:30 . 2009-11-13 18:36        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy

2009-11-13 18:36 . 2009-11-13 18:36        --------        d-----w-        c:\programme\Gemeinsame Dateien\PACE Anti-Piracy

2009-11-12 15:30 . 2009-11-12 14:58        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\LimeWire

2009-11-12 15:30 . 2009-11-12 14:58        --------        d-----w-        c:\programme\LimeWire

2009-11-11 19:20 . 2009-03-10 15:41        1        ----a-w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2009-11-11 10:47 . 2009-10-17 14:25        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion

2009-11-02 13:34 . 2009-03-15 10:33        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Bioshock

2009-10-27 14:04 . 2009-10-27 14:04        --------        d-----w-        c:\programme\UnH Solutions

2009-10-27 13:55 . 2009-10-27 13:55        --------        d-----w-        c:\programme\QuickTime Alternative

2009-10-27 13:55 . 2009-09-22 20:58        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer

2009-10-25 18:46 . 2009-10-25 18:44        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Trellian

2009-09-27 21:36 . 2009-09-27 21:35        3828846        ----a-w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\OpenCandy\maximus_install.exe

2009-05-01 21:02 . 2009-01-27 01:34        1044480        ----a-w-        c:\programme\opera\program\plugins\libdivx.dll

2009-05-01 21:02 . 2009-01-27 01:34        200704        ----a-w-        c:\programme\opera\program\plugins\ssldivx.dll

2009-03-15 23:57 . 2009-03-10 12:24        10289184        --sha-w-        c:\windows\system32\drivers\fidbox.dat

.
 

------- Sigcheck -------
 

[-] 2009-12-21 . C5A2E3829981F247116AD35359C90274 . 148768 . . [5.1.2600.5512] . . c:\windows\system32\drivers\atapi.sys

[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys

[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\atapi.sys

[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys
 

[-] 2009-12-02 . 1DF7F42665C94B825322FAE71721130D . 212224 . . [5.1.2600.5512] . . c:\windows\system32\drivers\ndis.sys

[-] 2009-12-02 . 1DF7F42665C94B825322FAE71721130D . 212224 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\ndis.sys

[7] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ndis.sys

[-] 2004-08-03 . 1DF7F42665C94B825322FAE71721130D . 182912 . . [5.1.2600.5512] . . c:\windows\$NtServicePackUninstall$\ndis.sys

.

(((((((((((((((((((((((((((((   SnapShot@2009-12-09_13.19.38   )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-12-21 21:02 . 2009-12-21 21:02        16384              c:\windows\Temp\Perflib_Perfdata_680.dat

+ 2004-08-03 23:57 . 2008-04-14 06:52        74752              c:\windows\system32\peyupnb.exe

+ 2001-08-23 12:00 . 2009-12-21 21:09        71060              c:\windows\system32\perfc009.dat

- 2001-08-23 12:00 . 2009-12-09 13:20        71060              c:\windows\system32\perfc009.dat

+ 2004-08-03 23:57 . 2009-02-09 10:51        18432              c:\windows\system32\drivers\zkmfnebp.sys

+ 2009-12-11 14:59 . 2009-12-11 14:59        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009121120091212\index.dat

+ 2009-03-08 10:58 . 2009-12-21 21:01        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat

- 2009-03-08 10:58 . 2009-12-09 13:09        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat

+ 2009-12-11 14:59 . 2009-12-11 14:59        78924              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat

+ 2009-12-15 19:49 . 2009-12-15 19:49        16384              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\MSIMGSIZ.DAT

+ 2009-03-08 10:58 . 2009-12-21 21:01        32768              c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2009-12-11 15:19 . 2009-12-20 21:45        32768              c:\windows\system32\config\systemprofile\Anwendungsdaten\Microsoft\Internet Explorer\UserData\index.dat

- 2001-08-23 12:00 . 2009-12-09 13:20        441124              c:\windows\system32\perfh009.dat

+ 2001-08-23 12:00 . 2009-12-21 21:09        441124              c:\windows\system32\perfh009.dat

+ 2009-03-08 10:58 . 2009-12-21 21:01        114688              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\Simon\Startmen\Programme\Autostart\

OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

Trillian.lnk - c:\programme\Trillian\trillian.exe [2008-11-26 1873280]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

forteManager.lnk - c:\programme\LG Soft India\forteManager\bin\Monitor.exe [2009-8-9 1134592]

PalTalk.lnk - c:\programme\Paltalk Messenger\paltalk.exe [2009-4-25 11057664]
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Trillian\\trillian.exe"=

"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=

"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Programme\\ICQ6.5\\ICQ.exe"=

"c:\\Programme\\uTorrent\\uTorrent.exe"=

"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=

"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=

"c:\\Programme\\Opera\\opera.exe"=

"c:\\Programme\\Steam\\steamapps\\simagain\\counter-strike source\\hl2.exe"=

"c:\\Programme\\Steam\\Steam.exe"=

"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=

"c:\\Programme\\Steam\\steamapps\\simagain\\day of defeat source\\hl2.exe"=

"c:\\Programme\\Steam\\steamapps\\simagain\\garrysmod\\hl2.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Programme\\Paltalk Messenger\\paltalk.exe"=

"c:\\Programme\\Steam\\steamapps\\simagain\\half-life 2 deathmatch\\hl2.exe"=

"c:\\Programme\\Free Download Manager\\fdm.exe"=

"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=

"c:\\Programme\\Java\\jre6\\bin\\java.exe"=

"c:\\Programme\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [08.03.2009 12:00 13696]

R3 LGDDCDevice;LGDDCDevice;c:\programme\LG Soft India\forteManager\bin\I2CDriver.sys [09.08.2009 01:33 14336]

S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [09.03.2009 23:16 4352]

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [27.09.2009 14:00 1527900]

S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [09.03.2009 23:16 265088]

S3 LGII2CDevice;LGII2CDevice;c:\programme\LG Soft India\forteManager\bin\PII2CDriver.sys [09.08.2009 01:33 17408]

S3 PLCND532;PLCND532 NDIS Protocol Driver;c:\windows\system32\drivers\PLCND532.sys [14.12.2007 16:26 26656]

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.schnellsucher.com/?t=Q0908251707&s=h

IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm

IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm

IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm

IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm

FF - ProfilePath - c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.schnellsucher.com/?t=Q0908251707&s=h

FF - prefs.js: network.proxy.type - 2

FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll

FF - plugin: c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll

FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

FF - user.js: yahoo.homepage.dontask - true.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-21 22:08

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 
 

c:\dokume~1\Simon\LOKALE~1\Temp\RGI3.tmp 7116 bytes
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 1
 

**************************************************************************
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe >>UNKNOWN [0x89DBE500]<< 

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xb80ecf28

\Driver\ACPI -> ACPI.sys @ 0xb7f7ecb8

\Driver\atapi -> atapi.sys @ 0xb7f10852

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8

 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8

 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8

NDIS:  -> SendCompleteHandler -> 0x0

 PacketIndicateHandler -> 0x0

 SendHandler -> 0x0

user & kernel MBR OK 
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:c2,c7,d9,45,dc,f2,e5,38,4e,82,e6,88,e4,33,f7,ce,df,16,b0,10,f3,73,39,

   2c,23,fc,f6,69,14,25,dd,9f,f5,d5,63,25,d4,f0,39,61,a6,2f,06,c0,a6,81,b0,08,\

"??"=hex:aa,d3,ad,10,3e,21,e1,5a,ee,a5,d7,2f,8a,be,03,83
 

[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\License information*]

"datasecu"=hex:97,1a,27,7a,9b,1c,72,6a,c6,27,e3,ad,42,b1,5a,95,df,65,d0,87,55,

   0e,4f,80,b2,9a,76,4e,56,e7,ec,ef,ab,af,94,54,29,2f,cb,95,71,1f,42,94,48,9f,\

"rkeysecu"=hex:3c,2e,31,50,70,cb,f4,7c,cd,47,02,0b,35,13,db,0c

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\nvsvc32.exe

c:\programme\avmwlanstick\WlanNetService.exe

c:\programme\Java\jre6\bin\jqs.exe

c:\programme\CDBurnerXP\NMSAccessU.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\PnkBstrB.exe

c:\programme\Yahoo!\SoftwareUpdate\YahooAUService.exe

c:\windows\system32\wscntfy.exe

c:\programme\OpenOffice.org 3\program\soffice.exe

c:\programme\OpenOffice.org 3\program\soffice.bin

.

**************************************************************************

.

Zeit der Fertigstellung: 2009-12-21  22:17:35 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2009-12-21 21:17

ComboFix2.txt  2009-12-09 13:29
 

Vor Suchlauf: 14 Verzeichnis(se), 21.767.196.672 Bytes frei

Nach Suchlauf: 15 Verzeichnis(se), 24.585.228.288 Bytes frei
 

- - End Of File - - D646E8B6609C0B8E047725ED35C44483

mbam log:

Code:

Malwarebytes' Anti-Malware 1.42

Datenbank Version: 3292

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13
 

04.12.2009 18:53:41

mbam-log-2009-12-04 (18-53-36).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 349429

Laufzeit: 2 hour(s), 29 minute(s), 54 second(s)
 

Infizierte Speicherprozesse: 1

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 5

Infizierte Registrierungswerte: 2

Infizierte Dateiobjekte der Registrierung: 2

Infizierte Verzeichnisse: 0

Infizierte Dateien: 50
 

Infizierte Speicherprozesse:

C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\updxsp32.exe (Trojan.Dropper) -> No action taken.
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\GodLib (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tcpsr (Trojan.Agent) -> No action taken.
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vdettcq (Trojan.Agent.H) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run (Trojan.Agent) -> No action taken.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run (Trojan.Agent) -> Data: c:\dokumente und einstellungen\simon\anwendungsdaten\adobe\manager.exe -> No action taken.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\dokumente und einstellungen\Simon\lokale einstellungen\anwendungsdaten\vdettcq.exe (Trojan.Agent.H) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\updxsp32.exe (Trojan.Dropper) -> No action taken.

C:\rnkvgt.exe (Trojan.Dropper) -> No action taken.

C:\thgnclsp.exe (Trojan.Downloader) -> No action taken.

C:\Dokumente und Einstellungen\Simon\ntuser.dll (Trojan.Agent) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Adobe\Manager.exe (Trojan.Agent) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\rundll32.dll (Trojan.Agent) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\u5el7.exe (Trojan.Downloader) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\j72a986.exe (Trojan.Dropper) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\~TMB4D.tmp (Trojan.Dropper) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\~TMB61.tmp (Trojan.Dropper) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\xum97.exe (Trojan.Downloader) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\005.exe (Trojan.Dropper) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\171.exe (Trojan.Downloader) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\p6i8ot.exe (Trojan.Dropper) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9VUQ4JYQ\mspcmnaao[1].htm (Trojan.Dropper) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9VUQ4JYQ\tmcerfsg[1].htm (Trojan.Dropper) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\tmcerfsg[1].htm (Trojan.Dropper) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\wpzzanosop[1].htm (Trojan.Agent) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\eghqa[1].htm (Trojan.Agent) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KEC2WT0B\mspcmnaao[1].htm (Trojan.Dropper) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KQLVRZV8\eghqa[1].htm (Trojan.Agent) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KQLVRZV8\loaderadv563[1].exe (Trojan.Downloader) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KQLVRZV8\wpzzanosop[1].htm (Trojan.Agent) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M28U4UM5\rkuresft[1].htm (Trojan.Downloader) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M28U4UM5\rkuresft[2].htm (Trojan.Downloader) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M28U4UM5\Xms[1].exe (Trojan.Dropper) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\ihaupd32.exe (Trojan.Dropper) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\scandisk.dll (Trojan.Agent) -> No action taken.

C:\Programme\Super Fast Shutdown\shutdown.exe (HackTool.Shutdown) -> No action taken.

C:\RECYCLER\S-1-5-21-9408339212-7261285265-491933822-1687\wnzip32.exe (Worm.Autorun.B) -> No action taken.

C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP22\A0011771.exe (Adware.NaviPromo) -> No action taken.

C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP22\A0011774.exe (Adware.Casino) -> No action taken.

C:\WINDOWS\ccdrive32.exe (Trojan.Dropper) -> No action taken.

C:\WINDOWS\system32\ir6d8bwwy.dll (Trojan.Downloader) -> No action taken.

C:\WINDOWS\system32\av_md.exe (Trojan.Inject) -> No action taken.

C:\WINDOWS\system32\i9q4v3n.dll (Trojan.Downloader) -> No action taken.

C:\WINDOWS\system32\calc.dll (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\config\systemprofile\av_md.exe (Trojan.Inject) -> No action taken.

C:\WINDOWS\system32\config\systemprofile\ntuser.dll (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\scandisk.dll (Trojan.Agent) -> No action taken.

C:\WINDOWS\Temp\~TMB5C.tmp (Trojan.Inject) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Startmenü\Programme\Autostart\scandisk.lnk (Trojan.Downloader) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\wiaservg.log (Malware.Trace) -> No action taken.

C:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\nsrbgxod.bak (Trojan.Agent) -> No action taken.

C:\Dokumente und Einstellungen\Simon\reader_s.exe (Trojan.Agent) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\habnf88jkefh87ifiks.tmp (Trojan.Agent) -> No action taken.

C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\Temp\pskfo83wijf89uwuhal8.tmp (Trojan.Agent) -> No action taken.

Was hab ich da alles für Trojaner drauf? Oh gott ^^

Dr web cure it log folgt morgen, tut mir leid wegen der Verspätung.

Lg

Simon

Drweb Cure it log:

Code:

Google Cash Sniper. Full Crack Aug 09 .exe;C:\Dokumente und Einstellungen\Simon\Desktop;Trojan.DownLoad1.12826;Nicht desinfizierbar.Verschoben.;

restart.exe;C:\Programme\Super Fast Shutdown;Tool.ShutDown.14;;

atapi.sys.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;

atapi.sys.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;

ndis.sys.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers;BackDoor.Bulknet.417;Desinfiziert.;

A0042376.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP48;Tool.ShutDown.14;;

A0042785.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP50;Win32.HLLW.Lime.18;Gelöscht.;

A0042858.dll;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP50;Trojan.Proxy.10443;Gelöscht.;

A0042859.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP50;Win32.HLLW.Lime.18;Gelöscht.;

A0043378.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Trojan.DownLoad.47257;Gelöscht.;

A0043379.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Trojan.DownLoad.47257;Gelöscht.;

A0044527.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Trojan.DownLoad.47257;Gelöscht.;

A0044746.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Trojan.DownLoad.47257;Gelöscht.;

A0044755.bat;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP52;Wahrscheinlich BATCH.Virus;;

A0046716.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.Winlock.598;Desinfiziert.;

A0046717.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.NtRootKit.4889;Gelöscht.;

A0047716.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.Winlock.598;Desinfiziert.;

A0047717.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.NtRootKit.4889;Gelöscht.;

A0047747.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.Winlock.598;Desinfiziert.;

A0047748.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.NtRootKit.4889;Gelöscht.;

A0047806.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.Winlock.598;Desinfiziert.;

A0047807.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.NtRootKit.4889;Gelöscht.;

A0047819.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.DownLoad.47257;Gelöscht.;

A0047850.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.DownLoad.47257;Gelöscht.;

A0047903.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;Trojan.DownLoad.47257;Gelöscht.;

A0047909.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP54;BackDoor.Tdss.1365;Desinfiziert.;

A0047929.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;Trojan.DownLoad.47257;Gelöscht.;

A0049098.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;Trojan.DownLoad.47257;Gelöscht.;

A0049106.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;BackDoor.Tdss.1365;Desinfiziert.;

A0049114.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;BackDoor.Tdss.1365;Desinfiziert.;

A0049114.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP55;Trojan.DownLoad.47257;Gelöscht.;

A0049131.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;

A0049348.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;

A0049377.bat;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Wahrscheinlich BATCH.Virus;;

A0049474.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;

A0049605.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad1.16169;Nicht desinfizierbar.Verschoben.;

A0049606.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.Inject.6289;Gelöscht.;

A0049607.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;

A0049617.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;BackDoor.Tdss.1365;Desinfiziert.;

A0049617.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;

A0049618.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad1.12826;Nicht desinfizierbar.Verschoben.;

A0049639.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;BackDoor.Tdss.1365;Desinfiziert.;

A0049639.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Trojan.DownLoad.47257;Gelöscht.;

atapi.sys;C:\WINDOWS\LastGood\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;

atapi.sys;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;

OLD5.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;

OLD5.tmp;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;

OLD8.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;

OLD8.tmp;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;

OLDB.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;

OLDB.tmp;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;

OLDE.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;

OLDE.tmp;C:\WINDOWS\system32\drivers;Trojan.DownLoad.47257;Gelöscht.;

Wie geht es nun weiter

lg Simon

Hey,

Also DrWeb cure it hat nun einige wichtige Boot dateien verschoben denke ich.
Ich habe meinen Pc auf Anweisung von DrWeb heruntergefahren und wenn er nun hochfäht kommt er nur bis um Windows XP Zeichen, dann kommt ein blauer Bildschrim ein paar Zeilen laufen ab und er startet von neuem.
Im abgesichtertem Modus kann ich auch nciht booten.

Wie ersetze ich diese dateien?Soll ich nun von der Cd booten?

Schreibe nun vom Laptop aus.

Lg,

Simon

Ich habe nun von der Xp Cd gebootet und bin in die Wiederherstellungskonsole gegangen.

Dort habe ich Bootfix fixmbr durchgeführt und nun läuft der computer wieder.

Wie geht es nun weiter?

Lg,

Simon

Hi,

die atapi.sys wurde von Dr. Web gelöscht und konnte nicht ersetzt werden...
D.h. es waren nur verseuchte Versionen auf dem Rechner...
Wir müssen prüfen ob das jetzt Okay ist, daher nochmal combofix (der sollte wieder online sein. TDSS ist nicht so einfach tot zu kriegen...

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.

chris
Ps. Denkste, er ist wieder down...
Lass noch mal Dr.Web laufen, ob er noch was in der atapi.sys findet, oder ob die durch Booten von der XP-CD automatisch ersetzt wurde. Sonst müssen wir sie von der CD runterkopiern, expandieren und in das richtige Verzeichnis kopieren...

Dr Web Cure it Log:

Code:

List-C.bat;C:\ComboFix;Wahrscheinlich BATCH.Virus;;

A0049652.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;BackDoor.Tdss.1365;Desinfiziert.;

A0049652.sys\data001;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56\A0049652.sys;BackDoor.Bulknet.408;;

A0049652.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP56;Container enthält infizierte Objekte;Verschoben.;

A0049739.exe;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP57;Tool.ShutDown.14;;

A0050589.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP57;BackDoor.Tdss.1365;Desinfiziert.;

A0050589.sys\data001;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP57\A0050589.sys;BackDoor.Bulknet.408;;

A0050589.sys;C:\System Volume Information\_restore{FDCF37CE-C363-48A3-9C97-AD649DACC3EC}\RP57;Container enthält infizierte Objekte;Verschoben.;

ndis.sys;C:\WINDOWS\system32\dllcache;BackDoor.Bulknet.417;Desinfiziert.;

atapi.sys\data001;C:\WINDOWS\system32\drivers\atapi.sys;BackDoor.Bulknet.408;;

atapi.sys;C:\WINDOWS\system32\drivers;Container enthält infizierte Objekte;Verschoben.;

OLD6B.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;

OLD6B.tmp\data001;C:\WINDOWS\system32\drivers\OLD6B.tmp;BackDoor.Bulknet.408;;

OLD6B.tmp;C:\WINDOWS\system32\drivers;Container enthält infizierte Objekte;Verschoben.;

OLD6E.tmp;C:\WINDOWS\system32\drivers;BackDoor.Tdss.1365;Desinfiziert.;

OLD6E.tmp\data001;C:\WINDOWS\system32\drivers\OLD6E.tmp;BackDoor.Bulknet.408;;

OLD6E.tmp;C:\WINDOWS\system32\drivers;Container enthält infizierte Objekte;Verschoben.;

Ich musste "mit der letzten bekannten funktionierenden Konfiguration booten".

Hi,

hmm, damit ist der Backdoor wieder aktiv (atapi.sys und ndis.sys sind systemdateien, die werden mitgesichert...), er hängt ausser im Bootblock noch in der ndis.sys und der atapi.sys....

Lass jetzt unbedingt mal combofix laufen (Log posten), der müsste jetzt wieder online sein.
Danach direkt neu booten und in die Rettungskonsole gehen und wieder fixmbr durchführen...

Dann noch mal CF laufen lassen&Log posten...

Wenn das nicht klappt, stellen wir die Dateien von Hand her...

chris

Combofix log:

Code:

ComboFix 09-12-27.03 - Simon 28.12.2009  15:32:57.3.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1479 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Simon\Desktop\ComboFix.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\dokumente und einstellungen\Simon\Anwendungsdaten\avdrn.dat
 

.

(((((((((((((((((((((((   Dateien erstellt von 2009-11-28 bis 2009-12-28  ))))))))))))))))))))))))))))))

.
 

2009-12-23 10:19 . 2009-12-16 13:42        872960        ----a-w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll

2009-12-23 10:19 . 2009-12-16 13:42        43008        ----a-w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll

2009-12-23 10:19 . 2009-12-16 13:42        340480        ----a-w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll

2009-12-23 10:19 . 2009-12-16 13:41        346624        ----a-w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll

2009-12-22 16:43 . 2008-04-13 23:10        96512        -c--a-w-        c:\windows\system32\dllcache\atapi.sys

2009-12-22 16:43 . 2008-04-13 23:10        96512        ----a-w-        c:\windows\system32\drivers\atapi.sys

2009-12-22 12:43 . 2009-12-22 12:59        214512        ----a-w-        c:\windows\system32\drivers\dwshd.sys

2009-12-11 14:59 . 2009-12-11 14:59        --------        d-----w-        c:\windows\system32\config\systemprofile\Anwendungsdaten\Yahoo!

2009-12-09 14:16 . 2009-12-09 14:16        77312        ----a-w-        c:\dokumente und einstellungen\Simon\mbr.exe

2009-12-07 20:44 . 2009-12-07 20:44        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft

2009-12-07 20:44 . 2009-12-07 20:44        --------        d-----w-        c:\programme\DVDVideoSoft

2009-12-04 18:13 . 2009-12-04 18:13        --------        d-----w-        C:\rsit

2009-12-04 14:47 . 2009-12-03 15:14        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-12-04 14:47 . 2009-12-04 14:47        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2009-12-04 14:47 . 2009-12-03 15:13        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-12-02 13:12 . 2009-12-02 13:12        182656        -c----w-        c:\windows\system32\dllcache\ndis.sys

2009-12-02 13:09 . 2009-12-02 13:09        --------        d-----w-        c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\TouchStoneSoftware

2009-12-01 17:26 . 2009-12-07 12:25        79488        ----a-w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll

2009-11-30 00:02 . 2008-10-21 18:22        276443        ----a-w-        c:\windows\Scheduler.exe

2009-11-29 14:42 . 2009-11-29 14:42        --------        d-----w-        c:\programme\Phoenix Technologies

2009-11-29 14:20 . 2009-11-29 14:20        --------        d-----w-        c:\windows\system32\wbem\Repository
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-28 14:18 . 2009-08-25 19:57        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Free Download Manager

2009-12-28 13:38 . 2001-08-23 12:00        84326        ----a-w-        c:\windows\system32\perfc007.dat

2009-12-28 13:38 . 2001-08-23 12:00        458822        ----a-w-        c:\windows\system32\perfh007.dat

2009-12-28 03:27 . 2009-03-08 14:35        --------        d-----w-        c:\programme\Trillian

2009-12-28 00:49 . 2009-03-08 14:43        --------        d-----w-        c:\programme\Steam

2009-12-26 03:41 . 2009-03-08 15:42        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Skype

2009-12-26 01:39 . 2009-03-08 15:44        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\skypePM

2009-12-25 14:32 . 2009-04-14 13:45        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\dvdcss

2009-12-23 00:09 . 2009-03-26 21:00        --------        d-----w-        c:\programme\Super Fast Shutdown

2009-12-05 12:15 . 2009-10-25 18:43        --------        d-----w-        c:\programme\Trellian

2009-12-04 18:58 . 2009-03-08 11:45        --------        d-----w-        c:\programme\Opera

2009-12-03 20:42 . 2009-05-27 17:36        --------        d-----w-        c:\programme\Acoustica Mixcraft 4

2009-12-02 13:12 . 2004-08-03 22:14        182656        ----a-w-        c:\windows\system32\drivers\ndis.sys

2009-12-02 13:12 . 2009-12-02 13:12        12        ----a-w-        c:\windows\system32\config\systemprofile\Anwendungsdaten\hlusyf.dat

2009-12-01 22:05 . 2009-09-27 21:35        --------        d-----w-        c:\programme\VstPlugins

2009-11-29 14:19 . 2009-11-27 15:48        --------        d-----w-        c:\programme\Ontrack

2009-11-27 15:48 . 2009-03-08 11:01        --------        d--h--w-        c:\programme\InstallShield Installation Information

2009-11-15 19:30 . 2009-11-13 18:36        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\PACE Anti-Piracy

2009-11-15 19:30 . 2009-11-13 18:36        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy

2009-11-13 18:36 . 2009-11-13 18:36        --------        d-----w-        c:\programme\Gemeinsame Dateien\PACE Anti-Piracy

2009-11-12 15:30 . 2009-11-12 14:58        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\LimeWire

2009-11-12 15:30 . 2009-11-12 14:58        --------        d-----w-        c:\programme\LimeWire

2009-11-11 19:20 . 2009-03-10 15:41        1        ----a-w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2009-11-11 10:47 . 2009-10-17 14:25        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion

2009-11-02 13:34 . 2009-03-15 10:33        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Bioshock

2009-05-01 21:02 . 2009-01-27 01:34        1044480        ----a-w-        c:\programme\opera\program\plugins\libdivx.dll

2009-05-01 21:02 . 2009-01-27 01:34        200704        ----a-w-        c:\programme\opera\program\plugins\ssldivx.dll

2009-03-15 23:57 . 2009-03-10 12:24        10289184        --sha-w-        c:\windows\system32\drivers\fidbox.dat

.
 

(((((((((((((((((((((((((((((   SnapShot@2009-12-09_13.19.38   )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-12-28 13:34 . 2009-12-28 13:34        16384              c:\windows\Temp\Perflib_Perfdata_648.dat

+ 2004-08-03 23:57 . 2008-04-14 06:52        74752              c:\windows\system32\peyupnb.exe

+ 2001-08-23 12:00 . 2009-12-28 13:38        71060              c:\windows\system32\perfc009.dat

- 2001-08-23 12:00 . 2009-12-09 13:20        71060              c:\windows\system32\perfc009.dat

+ 2004-08-03 23:57 . 2009-02-09 10:51        18432              c:\windows\system32\drivers\zkmfnebp.sys

+ 2009-12-11 14:59 . 2009-12-11 14:59        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009121120091212\index.dat

+ 2009-03-08 10:58 . 2009-12-22 12:31        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat

- 2009-03-08 10:58 . 2009-12-09 13:09        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat

+ 2009-12-11 14:59 . 2009-12-11 14:59        78924              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat

+ 2009-12-15 19:49 . 2009-12-15 19:49        16384              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\MSIMGSIZ.DAT

+ 2009-03-08 10:58 . 2009-12-22 12:31        32768              c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2009-12-11 15:19 . 2009-12-22 12:47        32768              c:\windows\system32\config\systemprofile\Anwendungsdaten\Microsoft\Internet Explorer\UserData\index.dat

- 2001-08-23 12:00 . 2009-12-09 13:20        441124              c:\windows\system32\perfh009.dat

+ 2001-08-23 12:00 . 2009-12-28 13:38        441124              c:\windows\system32\perfh009.dat

+ 2009-03-08 10:58 . 2009-12-22 12:31        114688              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\Simon\Startmen\Programme\Autostart\

OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

Trillian.lnk - c:\programme\Trillian\trillian.exe [2008-11-26 1873280]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

forteManager.lnk - c:\programme\LG Soft India\forteManager\bin\Monitor.exe [2009-8-9 1134592]

PalTalk.lnk - c:\programme\Paltalk Messenger\paltalk.exe [2009-4-25 11057664]
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\Trillian\\trillian.exe"=

"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=

"c:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Programme\\ICQ6.5\\ICQ.exe"=

"c:\\Programme\\uTorrent\\uTorrent.exe"=

"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=

"c:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=

"c:\\Programme\\Opera\\opera.exe"=

"c:\\Programme\\Steam\\steamapps\\simagain\\counter-strike source\\hl2.exe"=

"c:\\Programme\\Steam\\Steam.exe"=

"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=

"c:\\Programme\\Steam\\steamapps\\simagain\\day of defeat source\\hl2.exe"=

"c:\\Programme\\Steam\\steamapps\\simagain\\garrysmod\\hl2.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Programme\\Paltalk Messenger\\paltalk.exe"=

"c:\\Programme\\Steam\\steamapps\\simagain\\half-life 2 deathmatch\\hl2.exe"=

"c:\\Programme\\Free Download Manager\\fdm.exe"=

"c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=

"c:\\Programme\\Java\\jre6\\bin\\java.exe"=

"c:\\Programme\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=

"c:\\Programme\\Skype\\Phone\\Skype.exe"=
 

R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [08.03.2009 12:00 13696]

R3 LGDDCDevice;LGDDCDevice;c:\programme\LG Soft India\forteManager\bin\I2CDriver.sys [09.08.2009 01:33 14336]

S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [09.03.2009 23:16 4352]

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [27.09.2009 14:00 1527900]

S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [09.03.2009 23:16 265088]

S3 LGII2CDevice;LGII2CDevice;c:\programme\LG Soft India\forteManager\bin\PII2CDriver.sys [09.08.2009 01:33 17408]

S3 PLCND532;PLCND532 NDIS Protocol Driver;c:\windows\system32\drivers\PLCND532.sys [14.12.2007 16:26 26656]

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.schnellsucher.com/?t=Q0908251707&s=h

IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm

IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm

IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm

IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm

FF - ProfilePath - c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.schnellsucher.com/?t=Q0908251707&s=h

FF - prefs.js: network.proxy.type - 2

FF - component: c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll

FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll

FF - plugin: c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll

FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

FF - user.js: yahoo.homepage.dontask - true.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-28 15:41

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:c2,c7,d9,45,dc,f2,e5,38,4e,82,e6,88,e4,33,f7,ce,df,16,b0,10,f3,73,39,

   2c,23,fc,f6,69,14,25,dd,9f,f5,d5,63,25,d4,f0,39,61,a6,2f,06,c0,a6,81,b0,08,\

"??"=hex:aa,d3,ad,10,3e,21,e1,5a,ee,a5,d7,2f,8a,be,03,83
 

[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\License information*]

"datasecu"=hex:97,1a,27,7a,9b,1c,72,6a,c6,27,e3,ad,42,b1,5a,95,df,65,d0,87,55,

   0e,4f,80,b2,9a,76,4e,56,e7,ec,ef,ab,af,94,54,29,2f,cb,95,71,1f,42,94,48,9f,\

"rkeysecu"=hex:3c,2e,31,50,70,cb,f4,7c,cd,47,02,0b,35,13,db,0c

.

Zeit der Fertigstellung: 2009-12-28  15:43:18

ComboFix-quarantined-files.txt  2009-12-28 14:43

ComboFix2.txt  2009-12-21 21:17

ComboFix3.txt  2009-12-09 13:29
 

Vor Suchlauf: 14 Verzeichnis(se), 22.686.597.120 Bytes frei

Nach Suchlauf: 15 Verzeichnis(se), 23.769.640.960 Bytes frei
 

- - End Of File - - 26B41C76692373F20EEFB59885FE78F2

boote nun neu

Hi,

sieht ok aus...

chris

Combofix nach boot und mbr log:

Code:

ComboFix 09-12-27.03 - Simon 28.12.2009  15:48:24.4.2 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2046.1547 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\Simon\Desktop\ComboFix.exe

.
 

(((((((((((((((((((((((   Dateien erstellt von 2009-11-28 bis 2009-12-28  ))))))))))))))))))))))))))))))

.
 

2009-12-23 10:19 . 2009-12-16 13:42        872960        ----a-w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll

2009-12-23 10:19 . 2009-12-16 13:42        43008        ----a-w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll

2009-12-23 10:19 . 2009-12-16 13:42        340480        ----a-w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll

2009-12-23 10:19 . 2009-12-16 13:41        346624        ----a-w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll

2009-12-22 16:43 . 2008-04-13 23:10        96512        -c--a-w-        c:\windows\system32\dllcache\atapi.sys

2009-12-22 16:43 . 2008-04-13 23:10        96512        ------w-        c:\windows\system32\drivers\atapi.sys

2009-12-22 12:43 . 2009-12-22 12:59        214512        ----a-w-        c:\windows\system32\drivers\dwshd.sys

2009-12-11 14:59 . 2009-12-11 14:59        --------        d-----w-        c:\windows\system32\config\systemprofile\Anwendungsdaten\Yahoo!

2009-12-09 14:16 . 2009-12-09 14:16        77312        ----a-w-        c:\dokumente und einstellungen\Simon\mbr.exe

2009-12-07 20:44 . 2009-12-07 20:44        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft

2009-12-07 20:44 . 2009-12-07 20:44        --------        d-----w-        c:\programme\DVDVideoSoft

2009-12-04 18:13 . 2009-12-04 18:13        --------        d-----w-        C:\rsit

2009-12-04 14:47 . 2009-12-03 15:14        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2009-12-04 14:47 . 2009-12-04 14:47        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2009-12-04 14:47 . 2009-12-03 15:13        19160        ----a-w-        c:\windows\system32\drivers\mbam.sys

2009-12-02 13:12 . 2009-12-02 13:12        182656        -c----w-        c:\windows\system32\dllcache\ndis.sys

2009-12-02 13:09 . 2009-12-02 13:09        --------        d-----w-        c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\TouchStoneSoftware

2009-12-01 17:26 . 2009-12-07 12:25        79488        ----a-w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll

2009-11-30 00:02 . 2008-10-21 18:22        276443        ----a-w-        c:\windows\Scheduler.exe

2009-11-29 14:42 . 2009-11-29 14:42        --------        d-----w-        c:\programme\Phoenix Technologies

2009-11-29 14:20 . 2009-11-29 14:20        --------        d-----w-        c:\windows\system32\wbem\Repository
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-28 14:50 . 2001-08-23 12:00        84326        ----a-w-        c:\windows\system32\perfc007.dat

2009-12-28 14:50 . 2001-08-23 12:00        458822        ----a-w-        c:\windows\system32\perfh007.dat

2009-12-28 14:18 . 2009-08-25 19:57        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Free Download Manager

2009-12-28 03:27 . 2009-03-08 14:35        --------        d-----w-        c:\programme\Trillian

2009-12-28 00:49 . 2009-03-08 14:43        --------        d-----w-        c:\programme\Steam

2009-12-26 03:41 . 2009-03-08 15:42        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Skype

2009-12-26 01:39 . 2009-03-08 15:44        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\skypePM

2009-12-25 14:32 . 2009-04-14 13:45        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\dvdcss

2009-12-23 00:09 . 2009-03-26 21:00        --------        d-----w-        c:\programme\Super Fast Shutdown

2009-12-05 12:15 . 2009-10-25 18:43        --------        d-----w-        c:\programme\Trellian

2009-12-04 18:58 . 2009-03-08 11:45        --------        d-----w-        c:\programme\Opera

2009-12-03 20:42 . 2009-05-27 17:36        --------        d-----w-        c:\programme\Acoustica Mixcraft 4

2009-12-02 13:12 . 2004-08-03 22:14        182656        ------w-        c:\windows\system32\drivers\ndis.sys

2009-12-02 13:12 . 2009-12-02 13:12        12        ----a-w-        c:\windows\system32\config\systemprofile\Anwendungsdaten\hlusyf.dat

2009-12-01 22:05 . 2009-09-27 21:35        --------        d-----w-        c:\programme\VstPlugins

2009-11-29 14:19 . 2009-11-27 15:48        --------        d-----w-        c:\programme\Ontrack

2009-11-27 15:48 . 2009-03-08 11:01        --------        d--h--w-        c:\programme\InstallShield Installation Information

2009-11-15 19:30 . 2009-11-13 18:36        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\PACE Anti-Piracy

2009-11-15 19:30 . 2009-11-13 18:36        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy

2009-11-13 18:36 . 2009-11-13 18:36        --------        d-----w-        c:\programme\Gemeinsame Dateien\PACE Anti-Piracy

2009-11-12 15:30 . 2009-11-12 14:58        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\LimeWire

2009-11-12 15:30 . 2009-11-12 14:58        --------        d-----w-        c:\programme\LimeWire

2009-11-11 19:20 . 2009-03-10 15:41        1        ----a-w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2009-11-11 10:47 . 2009-10-17 14:25        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion

2009-11-02 13:34 . 2009-03-15 10:33        --------        d-----w-        c:\dokumente und einstellungen\Simon\Anwendungsdaten\Bioshock

2009-05-01 21:02 . 2009-01-27 01:34        1044480        ----a-w-        c:\programme\opera\program\plugins\libdivx.dll

2009-05-01 21:02 . 2009-01-27 01:34        200704        ----a-w-        c:\programme\opera\program\plugins\ssldivx.dll

2009-03-15 23:57 . 2009-03-10 12:24        10289184        --sha-w-        c:\windows\system32\drivers\fidbox.dat

.
 

(((((((((((((((((((((((((((((   SnapShot@2009-12-09_13.19.38   )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-12-28 14:46 . 2009-12-28 14:46        16384              c:\windows\Temp\Perflib_Perfdata_638.dat

+ 2004-08-03 23:57 . 2008-04-14 06:52        74752              c:\windows\system32\peyupnb.exe

+ 2001-08-23 12:00 . 2009-12-28 14:50        71060              c:\windows\system32\perfc009.dat

- 2001-08-23 12:00 . 2009-12-09 13:20        71060              c:\windows\system32\perfc009.dat

+ 2004-08-03 23:57 . 2009-02-09 10:51        18432              c:\windows\system32\drivers\zkmfnebp.sys

+ 2009-12-11 14:59 . 2009-12-11 14:59        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009121120091212\index.dat

+ 2009-03-08 10:58 . 2009-12-22 12:31        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat

- 2009-03-08 10:58 . 2009-12-09 13:09        32768              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat

+ 2009-12-11 14:59 . 2009-12-11 14:59        78924              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\A0AB7674-8D67-4F4D-B5E1-96FAEADFB79D.dat

+ 2009-12-15 19:49 . 2009-12-15 19:49        16384              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\MSIMGSIZ.DAT

+ 2009-12-11 15:19 . 2009-12-22 12:47        32768              c:\windows\system32\config\systemprofile\Anwendungsdaten\Microsoft\Internet Explorer\UserData\index.dat

- 2001-08-23 12:00 . 2009-12-09 13:20        441124              c:\windows\system32\perfh009.dat

+ 2001-08-23 12:00 . 2009-12-28 14:50        441124              c:\windows\system32\perfh009.dat

+ 2009-03-08 10:58 . 2009-12-22 12:31        114688              c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-07-14 13877248]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

c:\dokumente und einstellungen\Simon\Startmen\Programme\Autostart\

OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

Trillian.lnk - c:\programme\Trillian\trillian.exe [2008-11-26 1873280]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

forteManager.lnk - c:\programme\LG Soft India\forteManager\bin\Monitor.exe [2009-8-9 1134592]

PalTalk.lnk - c:\programme\Paltalk Messenger\paltalk.exe [2009-4-25 11057664]
 

R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [08.03.2009 12:00 13696]

R3 LGDDCDevice;LGDDCDevice;c:\programme\LG Soft India\forteManager\bin\I2CDriver.sys [09.08.2009 01:33 14336]

S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [09.03.2009 23:16 4352]

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\MAGIX\Common\Database\bin\fbserver.exe [27.09.2009 14:00 1527900]

S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [09.03.2009 23:16 265088]

S3 LGII2CDevice;LGII2CDevice;c:\programme\LG Soft India\forteManager\bin\PII2CDriver.sys [09.08.2009 01:33 17408]

S3 PLCND532;PLCND532 NDIS Protocol Driver;c:\windows\system32\drivers\PLCND532.sys [14.12.2007 16:26 26656]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

AppMgmt

AudioSrv

Browser

CryptSvc

DMServer

DHCP

ERSvc

FastUserSwitchingCompatibility

HidServ

LanmanServer

LanmanWorkstation

Messenger

Nla

NWCWorkstation

Schedule

Seclogon

SRService

Themes

TrkWks

W32Time

Wmi

WmdmPmSp

winmgmt

wscsvc

xmlprov

BITS

wuauserv

ShellHWDetection

helpsvc

napagent

hkmsvc

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://www.schnellsucher.com/?t=Q0908251707&s=h

IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm

IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm

IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm

IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm

FF - ProfilePath - c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.schnellsucher.com/?t=Q0908251707&s=h

FF - prefs.js: network.proxy.type - 2

FF - component: c:\dokumente und einstellungen\Simon\Anwendungsdaten\Mozilla\Firefox\Profiles\bbxlekpw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll

FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll

FF - plugin: c:\dokumente und einstellungen\Simon\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll

FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
 

---- FIREFOX Richtlinien ----

FF - user.js: yahoo.homepage.dontask - true.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-28 15:55

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:c2,c7,d9,45,dc,f2,e5,38,4e,82,e6,88,e4,33,f7,ce,df,16,b0,10,f3,73,39,

   2c,23,fc,f6,69,14,25,dd,9f,f5,d5,63,25,d4,f0,39,61,a6,2f,06,c0,a6,81,b0,08,\

"??"=hex:aa,d3,ad,10,3e,21,e1,5a,ee,a5,d7,2f,8a,be,03,83
 

[HKEY_USERS\S-1-5-21-790525478-616249376-725345543-1003\Software\SecuROM\License information*]

"datasecu"=hex:97,1a,27,7a,9b,1c,72,6a,c6,27,e3,ad,42,b1,5a,95,df,65,d0,87,55,

   0e,4f,80,b2,9a,76,4e,56,e7,ec,ef,ab,af,94,54,29,2f,cb,95,71,1f,42,94,48,9f,\

"rkeysecu"=hex:3c,2e,31,50,70,cb,f4,7c,cd,47,02,0b,35,13,db,0c

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'explorer.exe'(3624)

c:\programme\Trillian\events.dll

.

Zeit der Fertigstellung: 2009-12-28  15:56:50

ComboFix-quarantined-files.txt  2009-12-28 14:56

ComboFix2.txt  2009-12-28 14:43

ComboFix3.txt  2009-12-21 21:17

ComboFix4.txt  2009-12-09 13:29
 

Vor Suchlauf: 14 Verzeichnis(se), 23.779.790.848 Bytes frei

Nach Suchlauf: 15 Verzeichnis(se), 23.742.775.296 Bytes frei
 

- - End Of File - - 11B6B500F29193B9B999753BADD701FD

Wo finde ich das mbr log jetz nachdem ich mbr /f ausgeführt habe?

nun hat combofix glaube ich garnichtsmehr gefunden?

Ja, CF sieht gut aus...
In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;
Als letztes bitte noch mal gmer laufen lassen...:

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Mache auf jeden Fall den kompletten Rootkitscann...

chris

Also laut Heisse sind derzeit einige unbekannte Attacken am laufen, die Leute mit Trojanern infizieren, die dann ihrerseits Spamprozesse nachladen. Mich hats ohne eigenes zutun kürzlich auch erwischt. In meinem Fall hat die "services.exe" den Spam versendet, also nicht die services.exe selbst, sondern ein an sie angeschlossener Treiber.

Schau doch mal in c:\windows\system32\drivers nach und lass Dir alle Dateien mal nach Datum anzeigen. Schau Dir dort den allerletzten Eintrag an. Ist dort eine sys Datei drin, die kürzlich angelegt wurde, ohne das Du einen Treiber o.ä. installiert hast (und die zudem einen völlig zufallsgenerierten Namen hat), dann weißt Du "was" bei Dir spammt ;-)

Das ganze rumdoktoren am Trojaner bringt nix, weil der eigentliche Spamprozess noch immer aktiv ist. Einfach mal auf Deine Internetverbindung im Task Manager achten, oder TCPView laden und schauen ob sich ein Prozess zu massig vielen Mailservern verbindet!

Ich denke die aktuelle Aktion die gerade abläuft, von der noch nichtmal heisse den Grund kennt (es ist nur bekannt, dass in letzter Zeit immer mehr Windowsrechner wie von Geisterhand beginnen Spam zu senden), wird noch eine riesen Sache!

Hi,

danke für den Hinweis, CF zeigt deshalb veränderte Dateien an...
Der einzigst Treiber wäre (neben der "neuen" atapi.sys):
c:\windows\system32\drivers\dwshd.sys

Suchen wir doch mal in der Reg.:
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

dwshd.sys

in edit und klicke "Ok".
Notepad wird sich oeffnen - poste den text

Da sich der User allerdings länger nicht mehr gemeldet hat, gehe ich davon aus, dass sich das Problem erledigt hat...

chris