Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   XP Antispyware (https://www.trojaner-board.de/61896-xp-antispyware.html)

Nakama 12.10.2008 08:03
XP Antispyware
 
Hallo allerseits,

habe mir den lästigen Trojaner XP Antispyware eingefangen und auch schon Combofix durchlaufen lassen (Windows XP Professional, SP2). Hier die Log-Datei:



ComboFix 08-10-10.09 - Administrator 2008-10-11 19:52:45.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Administrator\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\akl
C:\Programme\akl\akl.dll
C:\Programme\akl\akl.exe
C:\Programme\akl\uninstall.exe
C:\Programme\INSTALL.LOG
C:\Programme\XP_AntiSpyware
C:\Programme\XP_AntiSpyware\Uninstall.exe
C:\WINDOWS\system32\brastk.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-11 bis 2008-10-11 ))))))))))))))))))))))))))))))
.

2008-10-11 18:50 . 2008-10-11 18:50<DIR>d--------C:\Programme\Enigma Software Group
2008-10-11 01:36 . 2008-10-04 21:40196,823--a------C:\WINDOWS\system32\_scui.cpl
2008-10-11 01:36 . 2008-10-11 19:3365,428--a------C:\WINDOWS\system32\wini104552502.exe
2008-10-11 01:34 . 2008-10-11 01:34<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spelglop
2008-10-11 01:33 . 2008-10-11 01:3381,920--a------C:\WINDOWS\system32\otmfypkr.exe
2008-09-30 16:07 . 2008-09-30 17:02<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Broken Sword 2.5
2008-09-30 16:05 . 2008-09-30 16:06<DIR>d--------C:\Programme\Broken Sword 2.5
2008-09-28 17:58 . 2008-09-28 17:58<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-09-28 17:58 . 2008-09-28 17:58<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ATI
2008-09-28 16:27 . 2008-09-28 16:27<DIR>d--------C:\Programme\Screaming Bee
2008-09-28 16:27 . 2008-09-28 16:27<DIR>d--------C:\Programme\Gemeinsame Dateien\Screaming Bee
2008-09-25 18:04 . 2008-09-25 18:04268--ah-----C:\sqmdata13.sqm
2008-09-25 18:04 . 2008-09-25 18:04244--ah-----C:\sqmnoopt13.sqm
2008-09-13 13:54 . 2008-09-13 13:54268--ah-----C:\sqmdata12.sqm
2008-09-13 13:54 . 2008-09-13 13:54244--ah-----C:\sqmnoopt12.sqm
2008-09-11 00:53 . 2008-09-11 00:53<DIR>d--------C:\Programme\MSXML 4.0

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-11 17:54---------
d-----wC:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-10-11 16:25---------
d-----wC:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVG7
2008-10-10 17:15---------
d-----wC:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2008-09-27 20:30---------
d-----wC:\Programme\SecondLife
2008-09-22 20:45---------
d-----wC:\Programme\ICQ6
2008-08-29 14:45---------
d-----wC:\Programme\LG PC Suite II
2008-08-29 14:28---------d--h--wC:\Programme\InstallShield Installation Information
2008-08-29 14:28---------
d-----wC:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LG Electronics
2008-08-29 14:22---------
d-----wC:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
2008-08-22 17:01---------
d-----wC:\Programme\Apple Software Update
2008-08-22 17:00---------
d-----wC:\Programme\iTunes
2008-08-22 17:00---------
d-----wC:\Programme\iPod
2008-08-22 16:57---------
d-----wC:\Programme\QuickTime Alternative
2008-08-22 16:20---------
d-----wC:\Programme\Safari
2008-08-19 15:05---------
d-----wC:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecondLife
2008-07-18 20:1094,920----a-wC:\WINDOWS\system32\cdm.dll
2008-07-18 20:1053,448----a-wC:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:1045,768----a-wC:\WINDOWS\system32\wups2.dll
2008-07-18 20:1036,552----a-wC:\WINDOWS\system32\wups.dll
2008-07-18 20:09563,912----a-wC:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09325,832----a-wC:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09205,000----a-wC:\WINDOWS\system32\wuweb.dll
2008-07-18 20:091,811,656
----a-wC:\WINDOWS\system32\wuaueng.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2005-10-10 15360]
"ProcUtilDsc"="C:\WINDOWS\system32\otmfypkr.exe" [2008-10-11 81920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-15 579584]
"Mirabilis ICQ"="C:\PROGRA~1\ICQ\ICQNet.exe" [2003-10-14 38984]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"Acronis*True*Image Monitor"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2007-10-27 505319]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-10-27 65536]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 36352]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
"QuickTime Task"="C:\Programme\QuickTime Alternative\QTTask.exe" [2008-05-27 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2005-10-10 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-26 219136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"wcSgndKc8X"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spelglop\qvelihct.exe" [2008-10-11 53248]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk - C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe [2007-11-11 10919936]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgemc.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\SecondLife\\SLVoice.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\Programme\\ICQ\\Icq.exe"=
"C:\\Programme\\ZyXEL\\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\\ZyXEL G-220 v2.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-03-26 16896]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2007-03-29 9216]
R0 ViPrt;VIA SATA IDE Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-03-26 52224]
R2 ZDCNDIS5;ZDCNDIS5 NDIS Protocol Driver;C:\WINDOWS\ZDCNDIS5.sys [2006-06-02 18944]
R3 AN983;ADMtek AN983/AN985/ADM951X-10/100-MBit/s-Fast Ethernet-Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2004-08-03 36224]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\ScreamingBAudio.sys [2007-12-19 21920]
R3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2006-06-02 402944]
S0 viasraid;viasraid;C:\WINDOWS\system32\drivers\viasraid.sys [2005-10-10 75904]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2006-06-02 20608]

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-09-19 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-17 22:50]

2008-10-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-brastk - C:\WINDOWS\system32\brastk.exe
HKLM-Run-XP Antispyware 2009 - C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\jlogmwk5.default\
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-11 19:54:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-11 19:55:00
ComboFix-quarantined-files.txt 2008-10-11 17:54:57

Vor Suchlauf: 7 Verzeichnis(se), 69.742.989.312 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 69,862,002,688 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

163--- E O F ---
2008-10-11 00:00:22



Vielen Dank für eure Hilfe!

raman 12.10.2008 10:12
Teste bitte folgende Dinge bei Virustotal.com und poste die entsprechenden Links zu den Ergebnissen:

C:\WINDOWS\system32\wini104552502.exe
C:\WINDOWS\system32\otmfypkr.exe
C:\WINDOWS\system32\_scui.cpl

Nakama 12.10.2008 16:35
Es gab nur zu der zweiten Datei einen Ergebnisbericht:

ThreatExpert Report: Trojan.Win32.Obfuscated.gx, FakeAlert-BD, Mal/EncPk-DG, Trojan:Win32/Busky.EI

raman 12.10.2008 16:45
Das ist ein Threatexpert ERgebniss. Das Virutotal Ergebniss waere hilfreich(permalink)

Nakama 12.10.2008 17:37
Oh. Permalink: analisis/4ba83c45d24dc11aa43529e2f008d7d8

raman 12.10.2008 18:50
Dann loesche die von mir angegebenen Dateien, lade dir eine neue Combofix Version herunter und erstelle mit dieser einen neuen Report.

Nakama 13.10.2008 14:57
Okay, habsch. Hier das Ergebnis:

ComboFix 08-10-12.01 - Administrator 2008-10-13 15:53:23.6 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.165 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Administrator\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-13 bis 2008-10-13 ))))))))))))))))))))))))))))))
.

2008-10-12 17:12 . 2008-10-12 17:12
77,824--a------C:\WINDOWS\system32\qvybwlyv.exe
2008-10-12 01:49 . 2008-10-12 17:12
<DIR>d--------C:\Programme\xkempae
2008-10-11 20:52 . 2008-10-11 20:52
<DIR>d--------C:\Programme\kvldqtb
2008-10-11 20:29 . 2008-10-12 17:12
156--a------C:\Dokumente und Einstellungen\Administrator\delself.bat
2008-10-11 18:50 . 2008-10-11 18:50
<DIR>d--------C:\Programme\Enigma Software Group
2008-10-11 01:34 . 2008-10-12 17:17
<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spelglop
2008-09-30 16:07 . 2008-09-30 17:02
<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Broken Sword 2.5
2008-09-30 16:05 . 2008-09-30 16:06
<DIR>d--------C:\Programme\Broken Sword 2.5
2008-09-28 17:58 . 2008-09-28 17:58
<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-09-28 17:58 . 2008-09-28 17:58
<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ATI
2008-09-28 16:27 . 2008-09-28 16:27
<DIR>d--------C:\Programme\Screaming Bee
2008-09-28 16:27 . 2008-09-28 16:27
<DIR>d--------C:\Programme\Gemeinsame Dateien\Screaming Bee
2008-09-25 18:04 . 2008-09-25 18:04
268--ah-----C:\sqmdata13.sqm
2008-09-25 18:04 . 2008-09-25 18:04
244--ah-----C:\sqmnoopt13.sqm
2008-09-13 13:54 . 2008-09-13 13:54
268--ah-----C:\sqmdata12.sqm
2008-09-13 13:54 . 2008-09-13 13:54
244--ah-----C:\sqmnoopt12.sqm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-13 13:55---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-10-11 16:25---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVG7
2008-10-10 17:15---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2008-09-27 20:30---------d-----w
C:\Programme\SecondLife
2008-09-22 20:45---------d-----w
C:\Programme\ICQ6
2008-09-10 22:53---------d-----w
C:\Programme\MSXML 4.0
2008-08-29 14:45---------d-----w
C:\Programme\LG PC Suite II
2008-08-29 14:28---------d--h--w
C:\Programme\InstallShield Installation Information
2008-08-29 14:28---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LG Electronics
2008-08-29 14:22---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
2008-08-22 17:01---------d-----w
C:\Programme\Apple Software Update
2008-08-22 17:00---------d-----w
C:\Programme\iTunes
2008-08-22 17:00---------d-----w
C:\Programme\iPod
2008-08-22 16:57---------d-----w
C:\Programme\QuickTime Alternative
2008-08-22 16:20---------d-----w
C:\Programme\Safari
2008-08-19 15:05---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecondLife
2008-07-18 20:1094,920----a-w
C:\WINDOWS\system32\cdm.dll
2008-07-18 20:1053,448----a-w
C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:1045,768----a-w
C:\WINDOWS\system32\wups2.dll
2008-07-18 20:1036,552----a-w
C:\WINDOWS\system32\wups.dll
2008-07-18 20:09563,912----a-w
C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09325,832----a-w
C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09205,000----a-w
C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:091,811,656
----a-wC:\WINDOWS\system32\wuaueng.dll
.

((((((((((((((((((((((((((((( snapshot@2008-10-11_19.54.38,84 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-08-05 18:11:01
15,888,504----a-wC:\WINDOWS\system32\MRT.exe
+ 2008-08-26 20:28:12
16,208,504----a-wC:\WINDOWS\system32\MRT.exe
+ 2008-04-15 17:54:16
1,724,416----a-wC:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.3352_x-ww_81af8e88\GdiPlus.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2005-10-10 15360]
"brastk"="C:\WINDOWS\system32\brastk.exe" [BU]
"MonStr"="C:\WINDOWS\system32\qvybwlyv.exe" [2008-10-12 77824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-15 579584]
"Mirabilis ICQ"="C:\PROGRA~1\ICQ\ICQNet.exe" [2003-10-14 38984]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"Acronis*True*Image Monitor"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2007-10-27 505319]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-10-27 65536]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 36352]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
"QuickTime Task"="C:\Programme\QuickTime Alternative\QTTask.exe" [2008-05-27 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"XP Antispyware 2009"="C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2005-10-10 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-26 219136]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk - C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe [2007-11-11 10919936]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgemc.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\SecondLife\\SLVoice.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\Programme\\ICQ\\Icq.exe"=
"C:\\Programme\\ZyXEL\\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\\ZyXEL G-220 v2.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-03-26 16896]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2007-03-29 9216]
R0 ViPrt;VIA SATA IDE Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-03-26 52224]
R3 AN983;ADMtek AN983/AN985/ADM951X-10/100-MBit/s-Fast Ethernet-Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2004-08-03 36224]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\ScreamingBAudio.sys [2007-12-19 21920]
R3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2006-06-02 402944]
R4 ZDCNDIS5;ZDCNDIS5 NDIS Protocol Driver;C:\WINDOWS\ZDCNDIS5.sys [2006-06-02 18944]
S0 viasraid;viasraid;C:\WINDOWS\system32\drivers\viasraid.sys [2005-10-10 75904]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2006-06-02 20608]
.
Inhalt des "geplante Tasks" Ordners

2008-09-19 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-17 22:50]

2008-10-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\jlogmwk5.default\
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-13 15:55:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-13 15:56:05
ComboFix-quarantined-files.txt 2008-10-13 13:55:57
ComboFix2.txt 2008-10-12 15:23:22
ComboFix3.txt 2008-10-12 14:46:59
ComboFix4.txt 2008-10-11 19:00:53
ComboFix5.txt 2008-10-13 13:52:22

Vor Suchlauf: 8 Verzeichnis(se), 69.579.829.248 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 69,569,191,936 Bytes frei

152--- E O F ---2008-10-11 18:50:19

raman 13.10.2008 15:12
Du musst noch folgende Dateien, bzw Ordner loeschen:

C:\WINDOWS\system32\qvybwlyv.exe
C:\Programme\xkempae
C:\Programme\kvldqtb
C:\Dokumente und Einstellungen\Administrator\delself.bat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spelglop

Nakama 13.10.2008 15:37
Habe alles gelöscht.

raman 13.10.2008 16:17
Dann bitte neu starten und ein neues Combofix Log erstellen und posten...

Nakama 13.10.2008 16:51
ComboFix 08-10-12.01 - Administrator 2008-10-13 17:47:08.7 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.185 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Administrator\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-13 bis 2008-10-13 ))))))))))))))))))))))))))))))
.

2008-10-11 18:50 . 2008-10-11 18:50
<DIR>d--------C:\Programme\Enigma Software Group
2008-09-30 16:07 . 2008-09-30 17:02
<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Broken Sword 2.5
2008-09-30 16:05 . 2008-09-30 16:06
<DIR>d--------C:\Programme\Broken Sword 2.5
2008-09-28 17:58 . 2008-09-28 17:58
<DIR>d--------C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-09-28 17:58 . 2008-09-28 17:58
<DIR>d--------C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ATI
2008-09-28 16:27 . 2008-09-28 16:27
<DIR>d--------C:\Programme\Screaming Bee
2008-09-28 16:27 . 2008-09-28 16:27
<DIR>d--------C:\Programme\Gemeinsame Dateien\Screaming Bee
2008-09-25 18:04 . 2008-09-25 18:04
268--ah-----C:\sqmdata13.sqm
2008-09-25 18:04 . 2008-09-25 18:04
244--ah-----C:\sqmnoopt13.sqm
2008-09-13 13:54 . 2008-09-13 13:54
268--ah-----C:\sqmdata12.sqm
2008-09-13 13:54 . 2008-09-13 13:54
244--ah-----C:\sqmnoopt12.sqm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-13 15:33---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-10-11 16:25---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVG7
2008-10-10 17:15---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gtk-2.0
2008-09-27 20:30---------d-----w
C:\Programme\SecondLife
2008-09-22 20:45---------d-----w
C:\Programme\ICQ6
2008-09-10 22:53---------d-----w
C:\Programme\MSXML 4.0
2008-08-29 14:45---------d-----w
C:\Programme\LG PC Suite II
2008-08-29 14:28---------d--h--w
C:\Programme\InstallShield Installation Information
2008-08-29 14:28---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LG Electronics
2008-08-29 14:22---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
2008-08-22 17:01---------d-----w
C:\Programme\Apple Software Update
2008-08-22 17:00---------d-----w
C:\Programme\iTunes
2008-08-22 17:00---------d-----w
C:\Programme\iPod
2008-08-22 16:57---------d-----w
C:\Programme\QuickTime Alternative
2008-08-22 16:20---------d-----w
C:\Programme\Safari
2008-08-19 15:05---------d-----w
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecondLife
2008-07-18 20:1094,920----a-w
C:\WINDOWS\system32\cdm.dll
2008-07-18 20:1053,448----a-w
C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:1045,768----a-w
C:\WINDOWS\system32\wups2.dll
2008-07-18 20:1036,552----a-w
C:\WINDOWS\system32\wups.dll
2008-07-18 20:09563,912----a-w
C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09325,832----a-w
C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09205,000----a-w
C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:091,811,656
----a-wC:\WINDOWS\system32\wuaueng.dll
.

((((((((((((((((((((((((((((( snapshot@2008-10-11_19.54.38,84 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-08-05 18:11:01
15,888,504----a-wC:\WINDOWS\system32\MRT.exe
+ 2008-08-26 20:28:12
16,208,504----a-wC:\WINDOWS\system32\MRT.exe
+ 2008-04-15 17:54:16
1,724,416----a-wC:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.3352_x-ww_81af8e88\GdiPlus.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2005-10-10 15360]
"brastk"="C:\WINDOWS\system32\brastk.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-15 579584]
"Mirabilis ICQ"="C:\PROGRA~1\ICQ\ICQNet.exe" [2003-10-14 38984]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"Acronis*True*Image Monitor"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2007-10-27 505319]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-10-27 65536]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2008-04-01 36352]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
"QuickTime Task"="C:\Programme\QuickTime Alternative\QTTask.exe" [2008-05-27 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"XP Antispyware 2009"="C:\Programme\XP_AntiSpyware\XP_AntiSpyware.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2005-10-10 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-26 219136]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk - C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe [2007-11-11 10919936]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgemc.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\SecondLife\\SLVoice.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\Programme\\ICQ\\Icq.exe"=
"C:\\Programme\\ZyXEL\\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\\ZyXEL G-220 v2.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-03-26 16896]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2007-03-29 9216]
R0 ViPrt;VIA SATA IDE Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-03-26 52224]
R2 ZDCNDIS5;ZDCNDIS5 NDIS Protocol Driver;C:\WINDOWS\ZDCNDIS5.sys [2006-06-02 18944]
R3 AN983;ADMtek AN983/AN985/ADM951X-10/100-MBit/s-Fast Ethernet-Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys [2004-08-03 36224]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;C:\WINDOWS\system32\drivers\ScreamingBAudio.sys [2007-12-19 21920]
R3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2006-06-02 402944]
S0 viasraid;viasraid;C:\WINDOWS\system32\drivers\viasraid.sys [2005-10-10 75904]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2006-06-02 20608]
.
Inhalt des "geplante Tasks" Ordners

2008-09-19 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe [2005-08-17 22:50]

2008-10-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-MonStr - C:\WINDOWS\system32\qvybwlyv.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\jlogmwk5.default\
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF -: plugin - C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-13 17:48:44
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-13 17:49:46
ComboFix-quarantined-files.txt 2008-10-13 15:49:35
ComboFix2.txt 2008-10-13 13:56:07
ComboFix3.txt 2008-10-12 15:23:22
ComboFix4.txt 2008-10-12 14:46:59
ComboFix5.txt 2008-10-13 15:46:17

Vor Suchlauf: 8 Verzeichnis(se), 69.638.938.624 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 69,705,007,104 Bytes frei

148--- E O F ---2008-10-11 18:50:19


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131