Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Auch hier TR/Vundo.Gen! (https://www.trojaner-board.de/63159-tr-vundo-gen.html)

xXSternleXx 29.10.2008 17:50
Auch hier TR/Vundo.Gen!
 
Hallo,
dann probier ichs halt nochmal...
AntiVir Guard bringt mir alle 2 Sekunden folgende Meldungen:
Auf Ihrem Computer wurde ein Virus oder unerwünschtes Programm gefunden!
C:\WINDOWS\system32\hidvsxfw.dll
Ist das Trojanische Pferd TR/Vundo.Gen

Auf Ihrem Computer wurde ein Virus oder unerwünschtes Programm
gefunden!
C:\WINDOWS\system32\sytvkt.dll
Ist das Trojanische Pferd TR/Vundo.Gen

Sowohl AntiVir selbst noch Vundofix haben etwas gebracht.
Ich hoffe,ihr könnt mir helfen und ich hab bis jetzt noch nichts falsch gemacht ;) Hab übrigens Windows XP.

Dankeschön!

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:17:04, on 29.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\VM_STI.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\SlimBrowser\sbrowser.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\avwsc.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis\HijackThis.exe
C:\Programme\AntiVir PersonalEdition Classic\avwsc.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\avwsc.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*hxxp://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*hxxp://de.search.yahoo.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [OM2_Monitor] "C:\Programme\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" /OM
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Programme\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" -NoStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Send to Mindjet MindManager - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - hxxp://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - hxxp://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {70EDCF63-CA7E-4812-8528-DA1EA2FD53B6} (VitaminCtrl Class) - hxxp://www.rockyoreillys.cz/VitaminCtrl.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1206430880
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - hxxps://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DD2AF4C-AC6F-4105-AC0C-634CE4A5FB70}: NameServer = 217.237.151.142 217.237.150.188
O20 - AppInit_DLLs: sytvkt.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 9658 bytes

Silent sharK 29.10.2008 17:54
Hi,

arbeite bitte folgende zwei Punkte durch:

1.)
MalwareBytes Anti-Malware:
  • Lade dir MalwareBytes Anti-Malware
  • Folge den Anweisungen der Anleitung und poste das Logfile

2.)
ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

xXSternleXx 29.10.2008 17:54
Sorry, AntiVir und Vundofix haben selbstverständlich NICHTS gebracht....nicht "etwas"...

xXSternleXx 29.10.2008 22:02
also das mit der anti-malware scheint nicht zu funktionieren. es scannt schon seit stunden und geht so gut wie gar nicht voran.ich hab das gefühl vundo legt hier alles lahm.
außerdem kommt seit neuestem eine neue antivir-meldung:
Auf ihrem Computer.....gefunden!
C:\Dokumente und Einstellungen\xxx\...\7c4f44fe-1bb35866
Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/VB.afl

gibt es vielleicht noch einen anderen weg?

Silent sharK 29.10.2008 22:03
Dann lass bitte MBAM aus und mach bei Combofix weiter.
BTW: Hast du letzter Zeit einen Link von einem MSN-Kontakt bekommen, der zu einem Video führte?

xXSternleXx 30.10.2008 15:15
zu deiner frage: einen link habe ich nicht bekommen über msn.ich nutze den messenger auch gar nicht.gibts sonst ne möglichkeit,wie ich mir das teil hätte einfangen können?

also ich habe jetzt ccleaner und combofix hinter mir.pc läuft auch schon wesentlich besser!hier mal die logfile:
Code:
ComboFix 08-10-30.05 - yvonne 2008-10-30 14:58:11.1 - NTFSx86
Running from: C:\Dokumente und Einstellungen\yvonne\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((  Other Deletions  )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOKUME~1\yvonne\LOKALE~1\Temp\tmp1.tmp
C:\DOKUME~1\yvonne\LOKALE~1\Temp\tmp2.tmp
C:\Dokumente und Einstellungen\yvonne\Anwendungsdaten\inst.exe
C:\Programme\INSTALL.LOG
C:\WINDOWS\admintxt.txt
C:\WINDOWS\service.exe
C:\WINDOWS\system32\aeordk.dll
C:\WINDOWS\system32\afognb.dll
C:\WINDOWS\system32\bffyfbuv.exe
C:\WINDOWS\system32\dao350.dll
C:\WINDOWS\system32\dreflpkl.dll
C:\WINDOWS\system32\fcccDwUo.dll
C:\WINDOWS\system32\fttxtjcl.dll
C:\WINDOWS\system32\geBrPgEV.dll
C:\WINDOWS\system32\hmlcweas.dll
C:\WINDOWS\system32\khfETkjH.dll
C:\WINDOWS\system32\lhcmwjld.dll
C:\WINDOWS\system32\lpockbwm.ini
C:\WINDOWS\system32\mgbwcxlx.dll
C:\WINDOWS\system32\mwbkcopl.dll
C:\WINDOWS\system32\oUwDcccf.ini
C:\WINDOWS\system32\oUwDcccf.ini2
C:\WINDOWS\system32\saewclmh.ini
C:\WINDOWS\system32\scdzlv.dll
C:\WINDOWS\system32\sytvkt.dll
C:\WINDOWS\system32\trfldudd.ini
C:\WINDOWS\system32\wfxsvdih.ini
C:\WINDOWS\system32\xwxcvvlo.dll

.
(((((((((((((((((((((((((  Files Created from 2008-09-28 to 2008-10-30  )))))))))))))))))))))))))))))))
.

2008-10-30 07:41 . 2008-10-30 07:41        1,510,349        ---hs----        C:\WINDOWS\system32\wfxsvdih.tmp
2008-10-29 22:27 . 2008-10-29 22:27        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-10-29 22:25 . 2008-10-29 22:25        <DIR>        d--------        C:\WINDOWS\system32\Kaspersky Lab
2008-10-29 18:12 . 2008-10-29 18:12        <DIR>        d--------        C:\Dokumente und Einstellungen\yvonne\Anwendungsdaten\Malwarebytes
2008-10-29 18:07 . 2008-10-22 16:10        38,496        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-29 18:07 . 2008-10-22 16:10        15,504        --a------        C:\WINDOWS\system32\drivers\mbam.sys
2008-10-29 18:06 . 2008-10-29 18:11        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware
2008-10-29 18:06 . 2008-10-29 18:06        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-29 06:25 . 2008-10-29 06:25        <DIR>        d--------        C:\VundoFix Backups
2008-10-29 06:11 . 2008-10-29 06:12        <DIR>        d--------        C:\Programme\CCleaner
2008-10-28 22:58 . 2008-10-29 01:19        51,200        ---------        C:\WINDOWS\wlan32.exe
2008-10-27 14:01 . 2008-10-27 14:01        49,676        --a------        C:\Dokumente und Einstellungen\yvonne\java.exe
2008-10-24 03:23 . 2008-10-15 17:35        337,408        -----c---        C:\WINDOWS\system32\dllcache\netapi32.dll
2008-10-16 12:56 . 2008-10-16 12:56        54,156        --ah-----        C:\WINDOWS\QTFont.qfn
2008-10-16 12:56 . 2008-10-16 12:56        1,409        --a------        C:\WINDOWS\QTFont.for
2008-10-16 04:48 . 2008-09-08 11:41        333,824        -----c---        C:\WINDOWS\system32\dllcache\srv.sys
2008-10-16 04:47 . 2008-08-14 14:19        2,191,488        -----c---        C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-16 04:47 . 2008-08-14 14:19        2,147,840        -----c---        C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-16 04:47 . 2008-08-14 14:19        2,068,352        -----c---        C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-16 04:47 . 2008-08-14 14:19        2,026,496        -----c---        C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-16 04:47 . 2008-09-15 16:24        1,846,528        -----c---        C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-12 14:57 . 2008-10-12 14:57        <DIR>        d--------        C:\Testbilder
2008-10-12 14:57 . 2008-10-12 14:57        <DIR>        d--------        C:\Programme\K-Lab
2008-10-10 15:06 . 2008-06-14 18:32        273,024        -----c---        C:\WINDOWS\system32\dllcache\bthport.sys
2008-10-10 12:12 . 2008-10-10 12:12        <DIR>        d--------        C:\WINDOWS\system32\de
2008-10-10 12:12 . 2008-10-10 12:12        <DIR>        d--------        C:\WINDOWS\system32\bits
2008-10-10 12:12 . 2008-10-10 12:12        <DIR>        d--------        C:\WINDOWS\l2schemas
2008-10-10 12:07 . 2008-10-10 12:12        <DIR>        d--------        C:\WINDOWS\ServicePackFiles
2008-10-10 11:51 . 2008-10-10 11:51        <DIR>        d--------        C:\WINDOWS\EHome
2008-10-10 08:06 . 2004-08-03 21:41        1,041,536        ---------        C:\WINDOWS\system32\drivers\hsfdpsp2.sys
2008-10-10 08:06 . 2004-08-03 21:41        685,056        ---------        C:\WINDOWS\system32\drivers\hsfcxts2.sys
2008-10-10 08:06 . 2004-08-03 21:41        220,032        ---------        C:\WINDOWS\system32\drivers\hsfbs2s2.sys
2008-10-10 08:06 . 2004-07-17 21:55        129,045        ---------        C:\WINDOWS\system32\drivers\cxthsfs2.cty
2008-10-10 08:06 . 2004-08-03 21:41        11,868        ---------        C:\WINDOWS\system32\drivers\mdmxsdk.sys
2008-10-10 05:53 . 2008-04-11 20:04        691,712        -----c---        C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-09-16 01:14 . 2008-09-16 01:14        3,596,288        --a------        C:\WINDOWS\system32\qt-dx331.dll
2008-09-16 01:14 . 2008-09-16 01:14        524,288        --a------        C:\WINDOWS\system32\DivXsm.exe
2008-09-16 01:14 . 2008-09-16 01:14        10,152        --a------        C:\WINDOWS\system32\dsm_de.qm
2008-09-16 01:14 . 2008-09-16 01:14        4,816        --a------        C:\WINDOWS\system32\divxsm.tlb
2008-09-16 01:11 . 2008-09-16 01:11        823,296        --a------        C:\WINDOWS\system32\divx_xx0c.dll
2008-09-16 01:11 . 2008-09-16 01:11        823,296        --a------        C:\WINDOWS\system32\divx_xx07.dll
2008-09-16 01:11 . 2008-09-16 01:11        815,104        --a------        C:\WINDOWS\system32\divx_xx0a.dll
2008-09-16 01:11 . 2008-09-16 01:11        802,816        --a------        C:\WINDOWS\system32\divx_xx11.dll
2008-09-16 01:11 . 2008-09-16 01:11        683,520        --a------        C:\WINDOWS\system32\DivX.dll
2008-09-16 01:11 . 2008-09-16 01:11        161,096        --a------        C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-09-16 01:11 . 2008-09-16 01:11        12,288        --a------        C:\WINDOWS\system32\DivXWMPExtType.dll

.
((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-30 13:56        ---------        d-----w        C:\Dokumente und Einstellungen\yvonne\Anwendungsdaten\SlimBrowser
2008-10-30 12:38        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-30 06:45        ---------        d-----w        C:\Programme\ICQToolbar
2008-10-28 15:55        ---------        d-----w        C:\Programme\xp-AntiSpy
2008-10-28 15:55        ---------        d-----w        C:\Programme\DVD Shrink
2008-10-14 10:14        ---------        d-----w        C:\Programme\SlimBrowser
2008-10-12 14:48        ---------        d-----w        C:\Programme\TuneUp Utilities 2006
2008-10-11 13:45        ---------        d-----w        C:\Programme\ICQ6
2008-10-11 04:42        ---------        d-----w        C:\Programme\DivX
2008-09-08 10:41        333,824        ----a-w        C:\WINDOWS\system32\drivers\srv.sys
2008-05-16 08:27        3,309,160        ----a-w        C:\Programme\eMule0.49a-Installer1.exe
2008-05-12 06:52        1,566        ----a-w        C:\Programme\xp-AntiSpy.lnk
2008-01-25 14:52        47,360        ----a-w        C:\Dokumente und Einstellungen\yvonne\Anwendungsdaten\pcouffin.sys
2005-06-22 05:37        45,568        --sha-r        C:\WINDOWS\system32\cygz.dll
.

(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" [2006-11-30 4662776]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"OM2_Monitor"="C:\Programme\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2008-05-15 95536]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2006-07-29 5354792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-10-06 5058560]
"BigDogPath"="C:\WINDOWS\VM_STI.EXE" [2003-01-21 40960]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-28 185896]
"OM2_Monitor"="C:\Programme\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" [2008-05-15 54576]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-01 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=afognb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"InCD"=C:\Programme\Ahead\InCD\InCD.exe
"BigDogPath"=C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\msncall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\SlimBrowser\\sbrowser.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Dokumente und Einstellungen\\yvonne\\Desktop\\emule\\eMule0.49b\\eMule0.49b\\emule.exe"=

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder

2008-10-24 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe [2006-10-02 17:58]
.
- - - - ORPHANS REMOVED - - - -

BHO-{03755067-1B8F-4077-9D93-37466B2F6E6c} - C:\WINDOWS\system32\mgbwcxlx.dll
BHO-{299B5FAC-2168-4A5D-A67D-AA4C8F8055DA} - C:\WINDOWS\system32\khfETkjH.dll
BHO-{37076E7D-4325-4F6E-AFFC-484A5BDCBB23} - C:\WINDOWS\system32\fcccDwUo.dll
BHO-{9fdbb0ac-85e7-432b-ad22-718327fa878f} - C:\WINDOWS\system32\afognb.dll
HKLM-Run-344e65a3 - C:\WINDOWS\system32\hmlcweas.dll
ShellExecuteHooks-{299B5FAC-2168-4A5D-A67D-AA4C8F8055DA} - C:\WINDOWS\system32\khfETkjH.dll


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.yahoo.com/
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
R1 -: HKCU-SearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
O8 -: &ICQ Toolbar Search - C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 -: Convert link target to Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Convert link target to existing PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Convert selected links to Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 -: Convert selected links to existing PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 -: Convert selection to Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Convert selection to existing PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Convert to Adobe PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Convert to existing PDF - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 -: {70EDCF63-CA7E-4812-8528-DA1EA2FD53B6} - hxxp://www.rockyoreillys.cz/VitaminCtrl.cab
C:\WINDOWS\Downloaded Program Files\VitaminCtrl.dll

O16 -: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1206430880
C:\WINDOWS\Downloaded Program Files\ImageUploader5.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\ImageUploader5.ocx
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-30 15:05:20
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Ahead\InCD\incdsrv.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Completion time: 2008-10-30 15:13:32 - machine was rebooted [yvonne]
ComboFix-quarantined-files.txt  2008-10-30 14:13:20

Pre-Run: 17 Verzeichnis(se), 16,976,687,104 Bytes frei
Post-Run: 17 Verzeichnis(se), 17,112,723,456 Bytes frei

209        --- E O F ---        2008-10-24 05:15:03

Silent sharK 30.10.2008 15:30
Du bist mit dem MSN Bot infiziert:
Zitat:
C:\WINDOWS\admintxt.txt
C:\WINDOWS\service.exe
Die Ursache wird wohl das gewesen sein:
Zitat:
2008-05-16 08:27 3,309,160 ----a-w C:\Programme\eMule0.49a-Installer1.exe
Sichere bitte den Ordner C:\QooBox extern ab!
Ein Neuaufsetzen würde ich an deiner Stelle sofort in Angriff nehmen!

Davor bitte noch die Dateien überprüfen:


Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\WINDOWS\wlan32.exe
C:\Programme\eMule0.49a-Installer1.exe
C:\Dokumente und Einstellungen\yvonne\java.exe
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131