Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   worm.win32.NetSky : wie werde ich ihn los?? (https://www.trojaner-board.de/50671-worm-win32-netsky-ihn-los.html)

pL4y 18.03.2008 15:05
worm.win32.NetSky : wie werde ich ihn los??
 
Hallo Zusammen,

seit heute morgen habe ich einen wurm namens: worm.win32.NetSky aufm meinem pc.

Auf meinem Destop sind auch drei Dateien drauf:
1. Spyware und Malware Protection,
2. Error Cleaner und
3. Privacy Protector.
Ausserdem öffen sich immer der Microsoft Internet Explorer und Warnungsmeldefenster sich:
Spyware alert,Securety Warning,Worm.Win32.NetSky detectet on your maschine sowie System Alert.
Ein weiteres problem ist, dass zwischen offenen Fenstern hin und hergeswicht wird, ohne dass ich etwas mache.

Kann mir irgendjemand helfen wie ich diesen wurm wieder entfernen kann?? Ich habe eigentlich keine lust zu formatieren, da ich erst neulich formatiert habe.
Außerdem hab ich sogut wie keine ahnung von dem zeug.

Vielen Dank schonmal im Voraus.

Grüße pL4y

Sabina 18.03.2008 15:23
Hallo,

du hast keinen worm.win32.NetSky - sondern Viren + Faketools, die dir einreden wollen, du hättest den worm.win32.NetSky........

befolge alle Schritte + poste alle Logs

1.
wende sdfix an - funktioniert nur im abgesicherten Modus
SDFix
poste dann hier den report

2.
wende combofix an + poste den report
combofix

3.
poste das log vom HijackThis
Hijackthis - deutsche Anleitung

pL4y 18.03.2008 16:02
Also als erstes der sdfix report:

Code:
SDFix: Version 1.158

Run by Kai on 18.03.2008 at 15:40

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\Kai\Desktop\SDFIX\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Default HomePage Value
Restoring Default Desktop Components Value

Rebooting


Checking Files :

Trojan Files Found:

C:\Dokumente und Einstellungen\Kai\Desktop\Error Cleaner.url - Deleted
C:\Dokumente und Einstellungen\Kai\Favoriten\Error Cleaner.url - Deleted
C:\Dokumente und Einstellungen\Kai\Desktop\Privacy Protector.url - Deleted
C:\Dokumente und Einstellungen\Kai\Favoriten\Privacy Protector.url - Deleted
C:\Dokumente und Einstellungen\Kai\Desktop\Spyware&Malware Protection.url - Deleted
C:\Dokumente und Einstellungen\Kai\Favoriten\Spyware&Malware Protection.url - Deleted
C:\WINDOWS\drnpfdxkvw.dll - Deleted
C:\WINDOWS\altvxvm.dll  - Deleted
C:\WINDOWS\bokpkov.dll  - Deleted
C:\WINDOWS\etlrlws.dll  - Deleted
C:\WINDOWS\fmsxwqs.exe  - Deleted





Removing Temp Files

ADS Check :
 


                                Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-18 15:43:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="D:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:83,b6,5f,10,d0,9f,e0,70,b0,8c,db,e9,34,a2,26,91,94,b2,16,27,8a,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,35,3b,8c,8e,c2,fb,26,53,fd,35,c8,18,13,5c,43,2a,cb,..
"khjeh"=hex:27,9d,c4,1a,48,93,d6,98,23,af,e6,ff,f3,eb,5d,4b,6a,c3,21,98,f2,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:65,d7,b5,74,41,32,de,75,11,b1,ab,2c,d5,76,e3,d9,74,c7,eb,18,cc,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="D:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:83,b6,5f,10,d0,9f,e0,70,b0,8c,db,e9,34,a2,26,91,94,b2,16,27,8a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,35,3b,8c,8e,c2,fb,26,53,fd,35,c8,18,13,5c,43,2a,cb,..
"khjeh"=hex:27,9d,c4,1a,48,93,d6,98,23,af,e6,ff,f3,eb,5d,4b,6a,c3,21,98,f2,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:65,d7,b5,74,41,32,de,75,11,b1,ab,2c,d5,76,e3,d9,74,c7,eb,18,cc,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Programme\\ICQ6\\ICQ.exe"="D:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"="C:\\Programme\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"D:\\Programme\\ICQLite\\ICQLite.exe"="D:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"D:\\Programme\\LimeWire\\LimeWire.exe"="D:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"D:\\Sierra\\Counter-Strike\\cstrike.exe"="D:\\Sierra\\Counter-Strike\\cstrike.exe:*:Enabled:CounterStrike Launcher"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"D:\\Programme\\Electronic Arts\\Crytek\\Crysis SP Demo\\Bin32\\Crysis.exe"="D:\\Programme\\Electronic Arts\\Crytek\\Crysis SP Demo\\Bin32\\Crysis.exe:*:Enabled:Crysis_32_sp_demo"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"D:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"="D:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe:*:Enabled:Battlefield 2"
"C:\\Programme\\Steam\\steamapps\\pl4yb0y_89\\counter-strike\\hl.exe"="C:\\Programme\\Steam\\steamapps\\pl4yb0y_89\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"

Remaining Files :


File Backups: - C:\DOKUME~1\Kai\Desktop\SDFIX\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 20 Jan 2008          355 ...H. --- "C:\Boot.BAK"
Wed 16 Jan 2008            48 ..SH. --- "C:\WINDOWS\S6A1DC62B.tmp"
Wed 28 Nov 2007            0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\9abd05361f9a8989001560352e910162\BIT3.tmp"

Finished!

dann hier der die log-file von combofix:

Code:
ComboFix 08-03-17.1 - Kai 2008-03-18 15:54:02.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1629 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kai\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

*Non default MBR detected - Run MBR check*
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Administrator\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Administrator\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Administrator\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Administrator\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Administrator\Favoriten\Spyware&Malware Protection.url
C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx

.
(((((((((((((((((((((((  Dateien erstellt von 2008-02-18 bis 2008-03-18  ))))))))))))))))))))))))))))))
.

2008-03-18 15:42 . 2008-03-18 15:42        <DIR>        d--------        C:\WINDOWS\system32\xircom
2008-03-18 15:42 . 2008-03-18 15:42        <DIR>        d--------        C:\Programme\microsoft frontpage
2008-03-18 15:40 . 2008-03-18 15:40        <DIR>        d--------        C:\WINDOWS\ERUNT
2008-03-18 15:40 . 2004-08-04 13:00        579,584        --a------        C:\WINDOWS\system32\dllcache\user32.dll
2008-03-18 12:06 . 2008-03-18 12:06        <DIR>        dr-------        C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-03-18 12:06 . 2008-03-18 12:06        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-18 12:06 . 2008-03-18 12:06        <DIR>        dr-------        C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-03-18 12:06 . 2008-03-18 12:06        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-18 11:10 . 2008-03-18 12:05        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-18 11:10 . 2008-03-18 12:06        <DIR>        d--h-----        C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-18 11:10 . 2008-03-18 15:54        <DIR>        dr-------        C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-18 11:10 . 2008-03-18 12:05        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-14 17:20 . 2008-03-14 17:20        <DIR>        d--------        C:\Programme\ReflexiveArcade
2008-03-11 16:24 . 2008-03-11 16:24        <DIR>        d--------        C:\DVDVideoSoft
2008-03-10 15:38 . 2008-03-10 15:38        <DIR>        d--------        C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-02-26 19:49 . 2004-01-16 17:50        35,178        --a------        C:\WINDOWS\system32\drivers\keilul.sys
2008-02-26 19:49 . 2003-02-04 12:06        20,005        --a------        C:\WINDOWS\system32\drivers\keillp.sys
2008-02-26 19:22 . 2008-02-26 19:23        <DIR>        d--------        C:\Programme\AtmelISP
2008-02-19 18:18 . 2008-02-19 18:18        30,312        --a------        C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-02-19 15:34 . 2008-02-19 15:34        <DIR>        d--------        C:\Dokumente und Einstellungen\Kai\WINDOWS
2008-02-19 15:34 . 1996-11-06 12:05        302,592        --a------        C:\WINDOWS\unin0407.exe
2008-02-18 21:10 . 2008-02-18 21:10        <DIR>        d--------        C:\Programme\MSECache

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-18 13:41        ---------        d-----w        C:\Programme\Steam
2008-03-14 15:59        ---------        d-----w        C:\Dokumente und Einstellungen\Siggi\Anwendungsdaten\OpenOffice.org2
2008-03-11 18:35        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2008-03-11 17:34        ---------        d-----w        C:\Programme\PokerStars.NET
2008-03-11 15:27        ---------        d-----w        C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Ahead
2008-03-11 13:31        ---------        d-----w        C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Skype
2008-03-07 15:52        ---------        d-----w        C:\Programme\Java
2008-03-06 14:44        ---------        d-----w        C:\Programme\ICQToolbar
2008-02-25 20:11        ---------        d-----w        C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\OpenOffice.org2
2008-02-19 17:23        ---------        d-----w        C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\gtk-2.0
2008-02-07 10:22        ---------        d-----w        C:\Programme\Microsoft Silverlight
2008-02-07 10:14        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-02-07 10:12        ---------        d-----w        C:\Programme\Microsoft.NET
2008-02-07 10:12        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Merge Modules
2008-02-07 10:11        ---------        d-----w        C:\Programme\Microsoft SDKs
2008-02-07 10:08        ---------        d-----w        C:\Programme\MSBuild
2008-02-06 17:51        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe
2008-02-06 12:44        ---------        d-----w        C:\Programme\Reference Assemblies
2008-01-25 15:39        ---------        d-----w        C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Earthsim
2008-01-25 15:39        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Earthsim
2008-01-25 15:35        ---------        d-----w        C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Winamp
2008-01-24 09:04        ---------        d-----w        C:\Dokumente und Einstellungen\Siggi\Anwendungsdaten\DivX
2008-01-23 18:01        ---------        d-----w        C:\Programme\Winamp
2008-01-20 15:51        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LightScribe
2008-01-20 15:37        ---------        d-----w        C:\Programme\Gemeinsame Dateien\LightScribe
2008-01-20 15:37        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Ahead
2008-01-20 15:32        ---------        d-----w        C:\Programme\Nero
2008-01-20 15:32        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-01-11 05:34        315,392        ----a-w        C:\WINDOWS\HideWin.exe
2007-10-12 16:19        32,768        --sha-w        C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007101220071013\index.dat
.

------- Sigcheck -------

2004-08-04 13:00  579584  78785eff8cb90cec1862a4ccfd9a3c3a        C:\WINDOWS\system32\user32.dll
2004-08-04 13:00  579584  78785eff8cb90cec1862a4ccfd9a3c3a        C:\WINDOWS\system32\dllcache\user32.dll

2007-08-20 10:48  825344  283d85f8192fa54f2ca978b659965739        C:\WINDOWS\$hf_mig$\KB939653-IE7\SP2QFE\wininet.dll
2007-10-11 00:20  825344  6a1aef7b9e513acb566b16b0ba133c7c        C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll
2004-08-04 13:00  823808  26db81279fed58d5199235c26d4836e2        C:\WINDOWS\ie7updates\KB939653-IE7\wininet.dll
2004-08-04 13:00  823808  26db81279fed58d5199235c26d4836e2        C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll
2004-08-04 13:00  823808  26db81279fed58d5199235c26d4836e2        C:\WINDOWS\system32\wininet.dll
2007-10-11 00:46  824832  fa5fa22e6f36f8453e9377810b3f9939        C:\WINDOWS\system32\dllcache\wininet.dll

2004-08-04 13:00  360576  b2220c618b42a2212a59d91ebd6fc4b4        C:\WINDOWS\system32\drivers\tcpip.sys

2007-02-28 18:06  2019840  5aa6fe8b36d7d4074542925c38c142be        C:\WINDOWS\system32\ntkrnlpa.exe
2004-08-04 13:00  2061696  9b9ca27ad315c02b71510238574894b2        C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\i386\ntkrnlpa.exe

2007-02-28 18:06  2140160  fd51b755255e963b1e78b010b575fa7c        C:\WINDOWS\system32\ntoskrnl.exe
2004-08-04 13:00  2184448  e1de7a10d46959560c3b617227d95c19        C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\i386\ntoskrnl.exe
.
((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-12 19:08 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-10-13 14:40 185632]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 20:43 7630848]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-11 20:43 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="regsvr32 /s /n /i:U shell32" []
"nltide_3"="advpack.dll" [2004-08-04 13:00 124928 C:\WINDOWS\system32\advpack.dll]

C:\Dokumente und Einstellungen\Siggi\Startmen\Programme\Autostart\
OpenOffice.org 2.3.lnk - C:\Programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 22:57:56 393216]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=C:\WINDOWS\pss\Last.fm Helper.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Kai^Startmenü^Programme^Autostart^OpenOffice.org 1.1.5.lnk]
path=C:\Dokumente und Einstellungen\Kai\Startmenü\Programme\Autostart\OpenOffice.org 1.1.5.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 1.1.5.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Kai^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk]
path=C:\Dokumente und Einstellungen\Kai\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
-r------- 2005-05-03 11:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICustomerCare]
--a------ 2007-10-04 18:38 307200 C:\Programme\ATI\ATICustomerCare\ATICustomerCare.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange]
--a------ 2007-10-16 05:39 26112 C:\WINDOWS\system32\Ati2mdxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-09-18 15:16 171464 D:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
--a------ 2007-06-20 12:49 451872 C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-07-04 14:20 161064 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-08-11 20:43 1519616 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb]
C:\Programme\Winamp Remote\bin\OrbTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-03 17:08 98304 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RSShutdown]
--a------ 2004-06-24 16:16 20480 C:\Programme\RichiStudios\Shutdown\Autostart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-r------- 2007-01-30 11:54 16116224 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2007-09-13 12:31 22880040 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r------- 2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-01-25 17:09 1266936 C:\Programme\Steam\Steam.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Programme\\ICQLite\\ICQLite.exe"=
"D:\\Programme\\LimeWire\\LimeWire.exe"=
"D:\\Sierra\\Counter-Strike\\cstrike.exe"=
"D:\\Programme\\Electronic Arts\\Crytek\\Crysis SP Demo\\Bin32\\Crysis.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"D:\\Programme\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"C:\\Programme\\Steam\\steamapps\\pl4yb0y_89\\counter-strike\\hl.exe"=

R0 DlPortio;DlPortio;C:\WINDOWS\system32\dlportio.sys [2001-02-27 11:50]
R2 RSShutdown;RichiStudios Shutdown;C:\Programme\RichiStudios\Shutdown\service.exe [2004-06-24 16:16]
S3 aaudstum;aaudstum;C:\DOKUME~1\Kai\LOKALE~1\Temp\aaudstum.sys []
S3 ALLOW-IO;ALLOW-IO;G:\ALLOW-IO.sys []
S3 zlportio;zlportio;D:\Programme\Ultra Star\zlportio.sys []


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-18 15:54:32
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-18 15:54:48
ComboFix-quarantined-files.txt  2008-03-18 14:54:41
.
2007-12-13 12:25:02        --- E O F ---

hijack ist im nächsten post, sonst wird er zu lang....

pL4y 18.03.2008 16:03
Und hier zuletzt noch die Hijack log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:57:40, on 18.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\RichiStudios\Shutdown\service.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: RichiStudios Shutdown (RSShutdown) - RichiStudios - C:\Programme\RichiStudios\Shutdown\service.exe

--
End of file - 6341 bytes
Ich hoffe das ist so alles richtig.

Danke schonmal

Grüße pL4y

Sabina 18.03.2008 16:06
das ging aber fix :)
im Grunde sollte schon alles wieder o.k. sein ...kommen noch popups ?

«
VirusTotal - Kostenloser online Viren- und Malwarescanner
Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren


C:\WINDOWS\system32\user32.dll
C:\WINDOWS\system32\dllcache\user32.dll

-----------------------------------------------------------
««
scanne + poste den report
Malwarebytes Anti-Malware

pL4y 18.03.2008 16:24
Vielen vielen dank für diene schnelle hilfe!!!

es ist soweit wieder alles in ordnung.

Grüße pL4y


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131