Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Zugriff auf Festplatten nicht möglich (https://www.trojaner-board.de/70184-zugriff-festplatten-moeglich.html)

Valcyrion 19.02.2009 21:18
Zugriff auf Festplatten nicht möglich
 
Hallo zusammen:),

ich habe folgendes Problem, wenn ich den Arbeitsplatz öffne, um auf die Festplattenpartition zu greifen zu können, werden die Partitionen bei Doppelklick nicht geöffnet. Stattdessen erscheint eine Fehlermeldung: "H:\ Zugriff verweigert." Bei einem Rechtsklick auf die entsprechenden Partition und dem Befehl "öffnen" sowie der Auswahl im Verzeichnisbaum habe ich Zugriff auf die Festplatte.

Kann es sich hierbei um einen Virus/Trojaner oder ein Wurm oder ähnliches handeln?

Anbei ein HiJackthis log

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:50:14, on 19.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\gtdetectsc.exe
C:\WINDOWS\system32\GtFlashSwitch.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\Mixer.exe
D:\KYE\ERGOME~1\SyTray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
d:\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Dokumente und Einstellungen\buv01\Desktop\vcleaner.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AVG\AVG8\avgui.exe
C:\Programme\AVG\AVG8\avgscanx.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\Programme\Trillian\trillian.exe
C:\Dokumente und Einstellungen\buv01\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ErgoMedia] d:\KYE\ERGOME~1\SyTray.exe
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ISUSPM Startup] "c:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [MobileConnect] %programfiles%\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe /silent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE70FF4B-003C-4628-866B-238FBD41CA14}: NameServer = 139.7.30.125 139.7.30.126
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: GtDetectSc Service (gtdetectsc) - OptionNV - C:\WINDOWS\system32\gtdetectsc.exe
O23 - Service: GtFlashSwitch Service (GtFlashSwitch) - OptionNV - C:\WINDOWS\system32\GtFlashSwitch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe

Chris4You 20.02.2009 07:55
Hi,

bitte alle USB-Sticks/Festplatten die seid der Infektion angeschlossen waren an den Rechner hängen und Combofix laufen lassen:

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

Danach bitte noch ein Lauf mit MAM:
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

chris

Valcyrion 20.02.2009 09:59
Danke... :)

werde es heut Abend nach der Arbeit gleich machen

Valcyrion 22.02.2009 12:10
Hier nun der Log von mbam.

Code:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1782
Windows 5.1.2600 Service Pack 2

21.02.2009 05:51:32
mbam-log-2009-02-21 (05-51-09).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|)
Durchsuchte Objekte: 168337
Laufzeit: 1 hour(s), 54 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> No action taken.

Chris4You 22.02.2009 15:05
Hi,
der Log von Combofix?
Hast Du alle Funde von MAM bereinigen lassen?
chris

Valcyrion 26.02.2009 21:19
oh den hab i vergessen rein zu stellen^^ werde ich gleich mal nachholen.

Und ja hatte alles was er gefunden hatte gelöscht

Code:
ComboFix 09-02-19.01 - buv01 2009-02-20 20:41:13.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.511.121 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\buv01\Desktop\clean\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\recycled\Recycled
c:\windows\jestertb.dll
D:\Autorun.inf
G:\Autorun.inf
H:\Autorun.inf
M:\autorun.inf

.
(((((((((((((((((((((((  Dateien erstellt von 2009-01-20 bis 2009-02-20  ))))))))))))))))))))))))))))))
.

2009-02-17 19:55 . 2009-02-17 19:55        268        --ah-----        C:\sqmdata01.sqm
2009-02-17 19:55 . 2009-02-17 19:55        244        --ah-----        C:\sqmnoopt01.sqm
2009-02-17 18:58 . 2009-02-17 18:58        268        --ah-----        C:\sqmdata00.sqm
2009-02-17 18:58 . 2009-02-17 18:58        244        --ah-----        C:\sqmnoopt00.sqm
2009-02-06 21:07 . 2009-02-19 20:54        <DIR>        d--h-----        C:\$AVG8.VAULT$
2009-02-06 21:05 . 2009-02-20 13:35        <DIR>        d--------        c:\windows\system32\drivers\Avg
2009-02-06 21:05 . 2009-02-06 21:05        <DIR>        d--------        c:\programme\AVG
2009-02-06 21:05 . 2009-02-07 18:01        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8
2009-02-06 21:05 . 2009-02-06 21:05        325,128        --a------        c:\windows\system32\drivers\avgldx86.sys
2009-02-06 21:05 . 2009-02-06 21:05        107,272        --a------        c:\windows\system32\drivers\avgtdix.sys
2009-02-06 21:05 . 2009-02-06 21:05        10,520        --a------        c:\windows\system32\avgrsstx.dll
2009-01-30 20:52 . 2009-02-20 20:02        54,156        --ah-----        c:\windows\QTFont.qfn
2009-01-30 20:52 . 2009-01-30 20:52        1,409        --a------        c:\windows\QTFont.for
2009-01-23 20:35 . 2009-01-23 20:35        <DIR>        d--------        c:\dokumente und einstellungen\buv01\Anwendungsdaten\DataDesign
2009-01-23 20:06 . 2009-01-23 20:06        <DIR>        d--------        c:\dokumente und einstellungen\buv01\Anwendungsdaten\InstallShield
2009-01-23 20:00 . 2009-01-23 20:00        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\BTrieve
2009-01-23 19:59 . 2009-01-23 20:10        <DIR>        d--------        c:\programme\Lexware
2009-01-23 19:59 . 2009-01-23 19:59        <DIR>        d--------        c:\programme\Gemeinsame Dateien\DataDesign
2009-01-23 19:57 . 2009-01-23 19:57        <DIR>        d--------        c:\dokumente und einstellungen\buv01\Anwendungsdaten\Lexware
2009-01-23 19:56 . 2009-01-23 20:11        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lexware
2009-01-23 19:56 . 2006-06-26 15:58        1,929,216        --a------        c:\windows\system32\cdintf250.dll
2009-01-23 19:51 . 2009-01-23 20:11        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Lexware
2009-01-22 20:38 . 2009-01-22 20:38        <DIR>        d--------        c:\windows\Sun
2009-01-22 11:10 . 2009-01-22 11:09        410,984        --a------        c:\windows\system32\deploytk.dll
2009-01-22 11:10 . 2009-01-22 11:09        73,728        --a------        c:\windows\system32\javacpl.cpl
2009-01-22 11:09 . 2009-01-22 11:09        <DIR>        d--------        c:\programme\Java
2009-01-20 19:50 . 2009-02-19 09:36        <DIR>        d--------        c:\windows\system32\CatRoot_bak
2009-01-20 19:21 . 2009-02-20 20:41        <DIR>        dr-hs----        C:\Recycled
2009-01-20 17:08 . 2009-01-20 17:08        <DIR>        d--------        c:\programme\Vodafone
2009-01-20 17:08 . 2009-01-20 17:08        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Vodafone

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-20 19:35        ---------        d-----w        c:\programme\Trillian
2009-02-19 20:08        ---------        d-----w        c:\programme\Mozilla Thunderbird
2009-02-19 19:25        ---------        d--h--w        c:\programme\InstallShield Installation Information
2009-02-17 09:06        ---------        d-----w        c:\dokumente und einstellungen\buv01\Anwendungsdaten\teamspeak2
2009-02-04 18:38        ---------        d-----w        c:\dokumente und einstellungen\buv01\Anwendungsdaten\gtk-2.0
2009-01-19 18:13        ---------        d-----w        c:\dokumente und einstellungen\buv01\Anwendungsdaten\Corel
2009-01-19 16:13        ---------        d-----w        c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Vodafone
2009-01-19 16:13        ---------        d-----w        c:\dokumente und einstellungen\buv01\Anwendungsdaten\Vodafone
2009-01-17 11:51        ---------        d-----w        c:\programme\Gemeinsame Dateien\DirectX
2009-01-17 11:50        ---------        d-----w        c:\dokumente und einstellungen\buv01\Anwendungsdaten\Wildlife Park 2
2008-12-29 18:50        ---------        d-----w        c:\programme\Microids
2008-12-29 18:33        ---------        d-----w        c:\programme\Gemeinsame Dateien\Corel
2008-12-21 18:49        ---------        d-----w        c:\programme\QuickTime
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-09-20 202024]
"MsnMsgr"="c:\programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"ErgoMedia"="d:\kye\ERGOME~1\SyTray.exe" [2005-06-28 1855488]
"EPSON Stylus C46 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE" [2004-01-13 99840]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-07-02 155648]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2006-09-11 86960]
"MobileConnect"="c:\programme\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe" [2008-03-13 2060288]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-01-22 136600]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 532776]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-02-06 1601304]
"C-Media Mixer"="Mixer.exe" [2001-08-17 c:\windows\mixer.exe]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 c:\windows\LOGI_MWX.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-02-06 21:05 10520 c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.JPEG"= JPEGCODE.DLL
"VIDC.MPEG"= JPEGCODE.DLL

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Digimax Viewer 2.1.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Digimax Viewer 2.1.lnk
backup=c:\windows\pss\Digimax Viewer 2.1.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 13:00 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 16:08 173304 d:\icq6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"h:\\Empire Earth\\Empire Earth.exe"=
"c:\\Programme\\Nero\\Nero8\\Nero ShowTime\\ShowTime.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"h:\\Age of Empires II\\EMPIRES2.EXE"=
"h:\\Age of Empires II\\age2_x1\\age2_x1.exe"=
"h:\\Quake3_OSP\\quake3.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"h:\\Sid Meier's Civilization 4\\Civilization4.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programme\\AVG\\AVG8\\avgnsx.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-02-06 325128]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-02-06 107272]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-02-06 298264]
R2 gtdetectsc;GtDetectSc Service;c:\windows\system32\GtDetectsc.exe [2008-08-20 123208]
R2 GtFlashSwitch;GtFlashSwitch Service;c:\windows\system32\GtFlashSwitch.exe [2008-08-20 123208]
R2 VMCService;Vodafone Mobile Connect Service;c:\programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe [2008-03-13 24576]
R3 ham50;Creatix V.90 HAM Data Fax Modem;c:\windows\system32\drivers\CTXH51.sys [2007-11-16 454815]
R3 YiRuanUSB;YiRuan device driver for 4d;c:\windows\system32\drivers\yrtumdriver.sys [2007-11-16 5760]
S3 PAC207;Trust WB-1400T Webcam;c:\windows\system32\drivers\PFC027.sys [2005-02-24 162176]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]
\Shell\AutoRun\command - K:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0050c742-e860-11dd-8890-0010dc12cac4}]
\Shell\AutoRun\command - K:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0050c745-e860-11dd-8890-0010dc12cac4}]
\Shell\AutoRun\command - K:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{09d0c190-e70d-11dd-8886-0010dc12cac4}]
\Shell\AutoRun\command - K:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35b298e0-e7a5-11dd-888d-0010dc12cac4}]
\Shell\AutoRun\command - K:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ba012bc6-e709-11dd-8884-0010dc12cac4}]
\Shell\AutoRun\command - K:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c0e4864a-e648-11dd-9a5d-0010dc12cac4}]
\Shell\AutoRun\command - K:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d305b438-e70f-11dd-8887-0010dc12cac4}]
\Shell\AutoRun\command - K:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f2748e41-e642-11dd-a21d-0010dc12cac4}]
\Shell\AutoRun\command - K:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f27490ec-e642-11dd-a21d-0010dc12cac4}]
\Shell\AutoRun\command - K:\setup.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-ISUSPM Startup - c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Connection Wizard,ShellNext = iexplore
IE: Mit dem LeechGet Wizard laden - file://c:\programme\LeechGet 2004\\Wizard.html
IE: Mit LeechGet herunterladen - file://c:\programme\LeechGet 2004\\AddUrl.html
IE: Mit LeechGet parsen - file://c:\programme\LeechGet 2004\\Parser.html
IE: Nach Microsoft &Excel exportieren - d:\micros~1\Office10\EXCEL.EXE/3000
TCP: {FE70FF4B-003C-4628-866B-238FBD41CA14} = 139.7.30.125 139.7.30.126
FF - ProfilePath - c:\dokumente und einstellungen\buv01\Anwendungsdaten\Mozilla\Firefox\Profiles\5afr88pr.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.arthoria.de/index.php?p=login
FF - component: c:\dokumente und einstellungen\buv01\Anwendungsdaten\Mozilla\Firefox\Profiles\5afr88pr.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
FF - component: c:\dokumente und einstellungen\buv01\Anwendungsdaten\Mozilla\Firefox\Profiles\5afr88pr.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
FF - component: c:\programme\AVG\AVG8\Firefox\components\avgssff.dll

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-20 20:46:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1645522239-1177238915-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:92,ae,63,b7,33,34,a7,38,7a,e2,71,a2,3a,9f,ec,79,7b,a9,a0,64,03,0f,0b,
  d1,31,ce,f2,60,a3,8c,29,f4,11,a5,39,e2,0b,53,17,a2,b9,e3,38,e8,04,cb,09,88,\
"??"=hex:38,4e,1d,29,87,19,d0,19,e6,b2,20,12,7a,bc,f8,eb
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(648)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-02-20 20:54:01
ComboFix-quarantined-files.txt  2009-02-20 19:52:35

Vor Suchlauf: 6.131.867.648 Bytes frei
Nach Suchlauf: 7,367,110,656 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

204        --- E O F ---        2009-02-19 06:15:31

Chris4You 27.02.2009 07:29
Hi,

da sind noch zwei suspekte Sachen:

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
c:\windows\QTFont.for
K:\setup.exe
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:
Files to delete:
c:\windows\QTFont.for

Folders to delete:
C:\Recycled
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19