Trojaner-Board - Abnow Trojaner (und vielleicht noch anderes) Logs im Anhang

Halli Hallo,

ich musste gerade feststellen, dass auch ich nicht vor Viren sicher bin.
Genauer gesagt geht es um den PC meines Vaters.

Es handelt sich um den fiesen Abnow Virus, ich will nicht wissen, wie er sich den eingefangen hat. Ich weiß jedoch, dass eine Neuinstallation z.Zt. nicht möglich ist, da es sich um den CAD Rechner meines Vaters handelt und er die CAD Software von seiner Firma gestellt bekommt. Problem ist, dass er erst einen Aufwändigen Antrag auf herausgabe der CD's stellen muss, der von der GF abgenickt werden muss.

Daher muss der PC jetzt erstmal bereinigt werden.

Es handelt sich um ein Windows XP Pro. Systemfestplatte ist E:\

Ich war auch schoneinmal so frei, die "ersten Schritte" durchzuführen:

Defogger, DDS und GMER sind drübergelaufen.

Die Logs befinden sich im Anhang.

Ich hoffe wir bekommen das heute noch recht schnell wieder geregelt, der Rechner muss morgen früh leider wieder in den Produktiveinsatz :(

Vielen Dank schoneinmal im voraus.

GMER:

Code:

GMER 1.0.15.15641 - hxxp://www.gmer.net

Rootkit scan 2012-03-15 20:16:34

Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e Hitachi_HDT721010SLA360 rev.ST6OA31B

Running: 3p4eg179.exe; Driver: E:\DOKUME~1\Achim\LOKALE~1\Temp\awdcrpod.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            BA7D8114                                                                                                            ZwClose

SSDT            BA7D80CE                                                                                                            ZwCreateKey

SSDT            BA7D811E                                                                                                            ZwCreateSection

SSDT            BA7D80C4                                                                                                            ZwCreateThread

SSDT            BA7D80D3                                                                                                            ZwDeleteKey

SSDT            BA7D80DD                                                                                                            ZwDeleteValueKey

SSDT            BA7D810F                                                                                                            ZwDuplicateObject

SSDT            BA7D80E2                                                                                                            ZwLoadKey

SSDT            BA7D80B0                                                                                                            ZwOpenProcess

SSDT            BA7D80B5                                                                                                            ZwOpenThread

SSDT            BA7D80EC                                                                                                            ZwReplaceKey

SSDT            BA7D80E7                                                                                                            ZwRestoreKey

SSDT            BA7D8123                                                                                                            ZwSetContextThread

SSDT            BA7D80D8                                                                                                            ZwSetValueKey

SSDT            BA7D80BF                                                                                                            ZwTerminateProcess
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           E:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                            section is writeable [0xB9815000, 0x288B98, 0xE8000020]

?               E:\DOKUME~1\Achim\LOKALE~1\Temp\mbr.sys                                                                             Das System kann die angegebene Datei nicht finden. !
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                            fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                            fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                 0xD4 0xC3 0x97 0x02 ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x34 0xEB 0x80 0x35 ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0xF4 0x28 0x5A 0x03 ...

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x2C 0xBB 0xB6 0x43 ...

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                     0xD4 0xC3 0x97 0x02 ...

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x34 0xEB 0x80 0x35 ...

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0xF4 0x28 0x5A 0x03 ...

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  

Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x2C 0xBB 0xB6 0x43 ...
 

---- Files - GMER 1.0.15 ----
 

File            E:\WINDOWS\$NtUninstallKB9588$\2768666509                                                                           0 bytes

File            E:\WINDOWS\$NtUninstallKB9588$\2768666509\@                                                                         2048 bytes

File            E:\WINDOWS\$NtUninstallKB9588$\2768666509\L                                                                         0 bytes

File            E:\WINDOWS\$NtUninstallKB9588$\2768666509\L\wgezhine                                                                75264 bytes

File            E:\WINDOWS\$NtUninstallKB9588$\2768666509\loader.tlb                                                                2632 bytes

File            E:\WINDOWS\$NtUninstallKB9588$\2768666509\U                                                                         0 bytes

File            E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@00000001                                                               45968 bytes

File            E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@000000c0                                                               2560 bytes

File            E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@000000cb                                                               3072 bytes

File            E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@000000cf                                                               1536 bytes

File            E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@80000000                                                               73728 bytes

File            E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@800000c0                                                               43008 bytes

File            E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@800000cb                                                               25600 bytes

File            E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@800000cf                                                               31232 bytes

File            E:\WINDOWS\$NtUninstallKB9588$\357110804                                                                            0 bytes
 

---- EOF - GMER 1.0.15 ----

DDS:

Code:

.

DDS (Ver_2011-08-26.01) - NTFSx86 

Internet Explorer: 8.0.6001.18702  BrowserJavaVersion: 1.6.0_29

Run by Achim at 18:00:25 on 2012-03-15

Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3070.2503 [GMT 1:00]

.

AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

============== Running Processes ===============

.

E:\WINDOWS\system32\Ati2evxx.exe

E:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

E:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\system32\Ati2evxx.exe

E:\Programme\Avira\AntiVir Desktop\sched.exe

svchost.exe

E:\WINDOWS\Explorer.EXE

E:\Programme\Medion Info Display\MdionLCM.exe

E:\WINDOWS\RTHDCPL.EXE

E:\Programme\Avira\AntiVir Desktop\avgnt.exe

E:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

E:\WINDOWS\vsnpstd3.exe

E:\Programme\FreePDF_XP\fpassist.exe

E:\WINDOWS\system32\ctfmon.exe

E:\Programme\Avira\AntiVir Desktop\avguard.exe

E:\Programme\Autodesk\Data Management Server 2008\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe

E:\Programme\Avira\AntiVir Desktop\avshadow.exe

E:\Programme\Java\jre6\bin\jqs.exe

E:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe

E:\Programme\CDBurnerXP\NMSAccessU.exe

E:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe

E:\WINDOWS\system32\svchost.exe -k imgsvc

E:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

E:\WINDOWS\system32\wuauclt.exe

.

============== Pseudo HJT Report ===============

.

uStart Page = my.daemon-search.com

BHO: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File

BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - e:\programme\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - e:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File

TB: DAEMON Tools Toolbar: {32099aac-c132-4136-9e9a-4e364a424e17} - e:\programme\daemon tools toolbar\DTToolbar.dll

uRun: [CTFMON.EXE] e:\windows\system32\ctfmon.exe

mRun: [MedionVFD] "e:\programme\medion info display\MdionLCM.exe"

mRun: [RTHDCPL] RTHDCPL.EXE

mRun: [Alcmtr] ALCMTR.EXE

mRun: [avgnt] "e:\programme\avira\antivir desktop\avgnt.exe" /min

mRun: [SunJavaUpdateSched] "e:\programme\gemeinsame dateien\java\java update\jusched.exe"

mRun: [snpstd3] e:\windows\vsnpstd3.exe

mRun: [FreePDF Assistant] e:\programme\freepdf_xp\fpassist.exe

dRun: [CTFMON.EXE] e:\windows\system32\CTFMON.EXE

dRunOnce: [3DxAssociateFileExts] e:\programme\3dconnexion\3dconnexion 3dxsoftware\3dxviewer\register.exe "FileExts"

StartupFolder: e:\dokume~1\alluse~1\startm~1\progra~1\autost~1\solidw~1.lnk - e:\programme\gemeinsame dateien\solidworks installations-manager\backgrounddownloading\sldBgDwld.exe

StartupFolder: e:\dokume~1\alluse~1\startm~1\progra~1\autost~1\start3~1.lnk - e:\programme\3dconnexion\3dconnexion 3dxsoftware\3dxware\3dxsrv.exe

IE: Nach Microsoft E&xel exportieren - e:\progra~1\micros~2\office12\EXCEL.EXE/3000

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - e:\programme\messenger\msmsgs.exe

IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - e:\progra~1\micros~2\office12\ONBttnIE.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - e:\progra~1\micros~2\office12\REFIEBAR.DLL

LSP: mswsock.dll

DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1294572509625

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab

Notify: AtiExtEvent - Ati2evxx.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - e:\windows\system32\WPDShServiceObj.dll

.

================= FIREFOX ===================

.

FF - ProfilePath - e:\dokumente und einstellungen\achim\anwendungsdaten\mozilla\firefox\profiles\w7qlromn.default\

FF - prefs.js: browser.startup.homepage - hxxps://bankingportal.sparkasse-werra-meissner.de/portal/portal/Starten?IID=52250030&AID=IPSTANDARD&IFLBSERVERID=IF@@031@@IF

FF - plugin: e:\programme\foxit software\foxit reader\plugins\npFoxitReaderPlugin.dll

FF - plugin: e:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: e:\programme\mozilla firefox\plugins\npdeployJava1.dll

FF - plugin: e:\programme\mozilla firefox\plugins\npEModelPlugin.dll

.

============= SERVICES / DRIVERS ===============

.

R1 avgio;avgio;e:\programme\avira\antivir desktop\avgio.sys [2011-1-9 11608]

R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;e:\windows\system32\drivers\dtsoftbus01.sys [2011-6-24 218688]

R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\programme\avira\antivir desktop\sched.exe [2011-1-9 136360]

R2 AntiVirService;Avira AntiVir Guard;e:\programme\avira\antivir desktop\avguard.exe [2011-1-9 269480]

R2 avgntflt;avgntflt;e:\windows\system32\drivers\avgntflt.sys [2011-1-9 66616]

R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;e:\windows\system32\drivers\cmiucr.SYS [2011-1-9 69248]

S0 rseb;rseb; [x]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;e:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]

S2 lpx;Mcp;e:\windows\system32\svchost.exe -k netsvcs [2008-4-28 14336]

S2 mcredirector;Webrootspysweeperservice;e:\windows\system32\svchost.exe -k netsvcs [2008-4-28 14336]

S2 mirrorv3;Ccflic0;e:\windows\system32\svchost.exe -k netsvcs [2008-4-28 14336]

S2 savrtpel;Packet;e:\windows\system32\svchost.exe -k netsvcs [2008-4-28 14336]

S3 CoordinatorServiceHost;SW Distributed TS Coordinator Service;d:\programme\solidworks corp\solidworks\swscheduler\DTSCoordinatorService.exe [2010-10-5 87336]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;e:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]

S4 msvsmon80;Visual Studio 2005 Remote Debugger;e:\programme\microsoft visual studio 8\common7\ide\remote debugger\x86\msvsmon.exe [2006-10-26 2799808]

.

=============== File Associations ===============

.

.scr=AutoCADScriptFile

.

=============== Created Last 30 ================

.

2012-03-14 20:46:53        --------        d-----w-        E:\_OTL

2012-03-14 18:03:02        0        --sha-w-        e:\windows\system32\dds_log_ad13.cmd

2012-03-14 18:01:09        --------        d-sh--w-        e:\dokumente und einstellungen\achim\lokale einstellungen\anwendungsdaten\a5067f8d

2012-03-03 20:14:47        61440        ----a-w-        e:\windows\system32\FTChipID.dll

2012-03-03 20:14:41        --------        d-----w-        e:\dokumente und einstellungen\achim\anwendungsdaten\ScanMaster-ELM

2012-03-03 20:14:40        --------        d-----w-        e:\programme\WGSoft

2012-03-03 20:12:03        --------        d-----w-        E:\obd2

2012-02-23 19:37:42        73728        ----a-w-        e:\windows\ALCFDRTM.EXE

2012-02-16 13:31:35        3072        -c----w-        e:\windows\system32\dllcache\iacenc.dll

2012-02-16 13:31:35        3072        ------w-        e:\windows\system32\iacenc.dll

.

==================== Find3M  ====================

.

2012-02-03 09:57:08        1860224        ----a-w-        e:\windows\system32\win32k.sys

2012-01-09 16:20:20        139784        ----a-w-        e:\windows\system32\drivers\rdpwd.sys

2011-12-28 07:01:20        414368        ----a-w-        e:\windows\system32\FlashPlayerCPLApp.cpl

2011-12-17 19:43:23        916992        ----a-w-        e:\windows\system32\wininet.dll

2011-12-17 19:43:23        43520        ------w-        e:\windows\system32\licmgr10.dll

2011-12-17 19:43:23        1469440        ------w-        e:\windows\system32\inetcpl.cpl

.

============= FINISH: 18:00:42,06 ===============