Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   services.exe spinnt... (https://www.trojaner-board.de/76407-services-exe-spinnt.html)

4RobSen8 15.08.2009 12:39
Die sollten vom Kompetenzteam ausgewertet werden...
Ich habe auch noch keine Nachricht bekommen...
Abwarten.

4RobSen8 15.08.2009 13:02
Also vor Montag wird das nichts. Die Leute wollen ja`auch mal Wochenende haben. Du könntest inzwischen die noch ausstehenden Malwarebytes und Gmerlogs, hier rein kopieren.

FileX 15.08.2009 16:06
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2551
Windows 5.1.2600 Service Pack 3

15.08.2009 17:05:27
mbam-log-2009-08-15 (17-05-22).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 200252
Laufzeit: 36 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msword98 (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msword98 (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Felix\msword98.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\system32\msword98.exe (Trojan.FakeAlert.H) -> No action taken.
E:\System Volume Information\_restore{25D3A7CE-4D65-46C1-95B3-AC13CE73D78D}\RP212\A0090474.exe (Malware.Packer) -> No action taken.
C:\WINDOWS\Temp\wpv271250008288.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Temp\wpv311250109698.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\wiaserva.log (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Felix\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> No action taken.

FileX 19.08.2009 15:29
ich habe weitere Probleme bekommen...

Gestern musste ich etwas für die Schule aus dem Internet raussuchen.
Ich bin eigentlich nur auf seriösen Seiten gesurft. Als ich dann heute den PC startete, wollte er nicht mehr hochfahren. Immer am Windows Ladebalken hängengeblieben...
Letzte als funktionierende bekannte Konfiguration gewählt und er fuhr wieder hoch.

Ein Freund von mir war auf der gleichen Seite und beschwert sich auch über einen Worm!

Ich würde gerne eine genaue Erklärung haben, was dieser Worm/ Trojaner anrichtet. Ich habe echt Angst...

Habe mal auf Wunsch von RobSen Malwarebytes und Gmer gestartet:

Hier mal die Gmer Logs als Anhang (zu groß !!)
Dann hab ich die Malwarebyte - Logs auch gleich als Anhang!
ist somit übersichtlicher der Thread!

Soll ich noch irgendwas durchführen? Ich will die Dinger ein für alle Mal loswerden, ich will ungestört surfen... Nicht das das irgendein Backdoor ist, dann heul ich. Naja, ich mach ja kein Online Banking etc., ist eigentlich nur mein Zocker PC, aber ich habe kein Bock auf diese Viren...

Oha, wie ich gesehen habe 2x Backdoor...

HILFE!

PS: Dieses Problem hat nichts mit meinem "services.exe Problem" zu tun!!!
Das Problem besteht aber weiterhin!!

4RobSen8 19.08.2009 21:33
Also entweder kannst du neuaufsetzten, oder es wird mit Combofix versucht.
Neuaufsetzten wäre schnelle...Combofix nimmt Zeit in Anspruch

Entscheide dich.

FileX 20.08.2009 12:45
Ich nehme Combofix...
Neuaufsetzen is mir zu blöd...

FileX 20.08.2009 14:11
So, Combofix ausgeführt, dann wird der PC neugestartet.
Nachm Neustart steht dort: install.exe muss beendet werden...
Dann wird der PC heruntergefahren.

???

Combofix Log:

Code:
ComboFix 09-08-19.06 - Felix 20.08.2009 14:54.2.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1395 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Felix\Desktop\ComboFix.exe
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Felix\Anwendungsdaten\wiaserva.log
c:\dokumente und einstellungen\Felix\Lokale Einstellungen\Temporary Internet Files\lacaq.exe
c:\dokumente und einstellungen\Felix\Lokale Einstellungen\Temporary Internet Files\qyzuk.bin
c:\dokumente und einstellungen\Felix\Lokale Einstellungen\Temporary Internet Files\rebipatute.pif
c:\windows\system32\braviax.exe
c:\windows\system32\wisdstr.exe

Infizierte Kopie von c:\windows\system32\drivers\ntfs.sys wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\ntfs.sys wurde wiederhergestellt

.
(((((((((((((((((((((((  Dateien erstellt von 2009-07-20 bis 2009-08-20  ))))))))))))))))))))))))))))))
.

2009-08-20 12:23 . 2009-08-20 12:23        18364        ----a-w-        c:\windows\system32\tuwys.sys
2009-08-20 12:23 . 2009-08-20 12:23        16505        ----a-w-        c:\programme\Gemeinsame Dateien\evehoky.dat
2009-08-20 12:23 . 2009-08-20 12:23        15402        ----a-w-        c:\programme\Gemeinsame Dateien\ujotuqot.vbs
2009-08-20 12:23 . 2009-08-20 12:23        14720        ----a-w-        c:\windows\kokybepacy.bin
2009-08-20 12:23 . 2009-08-20 12:23        13586        ----a-w-        c:\programme\Gemeinsame Dateien\maly.vbs
2009-08-20 12:23 . 2009-08-20 12:23        19274        ----a-w-        c:\programme\Gemeinsame Dateien\lutewyt.exe
2009-08-20 12:23 . 2009-08-20 12:23        16068        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\gewifu.sys
2009-08-20 12:23 . 2009-08-20 12:23        13033        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\yhafahy.scr
2009-08-20 12:23 . 2009-08-20 12:23        12070        ----a-w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\subedixe.sys
2009-08-20 11:56 . 2009-08-20 11:57        --------        d-----w-        c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\AskToolbar
2009-08-19 12:40 . 2009-03-24 14:08        55640        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
2009-08-18 18:48 . 2009-08-18 18:48        --------        d-----w-        c:\windows\SxsCaPendDel
2009-08-16 05:58 . 2009-08-16 05:58        26686        ----a-w-        c:\windows\system32\msword98.exe
2009-08-16 05:58 . 2009-08-16 05:58        26686        ----a-w-        c:\dokumente und einstellungen\Felix\msword98.exe
2009-08-15 18:20 . 2009-08-15 18:20        --------        d-----w-        C:\CrashReport
2009-08-15 14:42 . 2008-03-16 12:30        216064        --sh--r-        c:\windows\system32\nbDX.dll
2009-08-15 14:42 . 2007-02-21 10:47        31232        --sh--r-        c:\windows\system32\msfDX.dll
2009-08-15 14:42 . 2006-05-03 09:06        163328        --sh--r-        c:\windows\system32\flvDX.dll
2009-08-15 14:41 . 2009-08-15 14:41        --------        d-----w-        c:\programme\eRightSoft
2009-08-15 14:28 . 2009-08-15 14:28        --------        d-----w-        c:\dokumente und einstellungen\Felix\Anwendungsdaten\Malwarebytes
2009-08-15 14:28 . 2009-08-03 11:36        38160        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-15 14:28 . 2009-08-15 14:28        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2009-08-15 14:28 . 2009-08-15 14:28        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-15 14:28 . 2009-08-03 11:36        19096        ----a-w-        c:\windows\system32\drivers\mbam.sys
2009-08-15 10:40 . 2009-08-15 10:40        --------        d-----w-        c:\dokumente und einstellungen\Felix\Lokale Einstellungen\Anwendungsdaten\Help
2009-08-15 08:26 . 2009-08-20 12:23        --------        d-----w-        c:\dokumente und einstellungen\Felix\Lokale Einstellungen\Anwendungsdaten\AskToolbar
2009-08-14 16:55 . 2009-08-15 11:12        --------        d-----w-        c:\dokumente und einstellungen\Felix\Anwendungsdaten\BitTorrent
2009-08-14 16:54 . 2009-08-14 16:54        --------        d-----w-        c:\programme\BitTorrent
2009-08-14 16:54 . 2009-08-14 16:54        --------        d-----w-        c:\programme\Ask.com
2009-08-14 12:47 . 2009-08-14 12:47        --------        d-----w-        c:\programme\Trend Micro
2009-08-14 11:24 . 2009-08-14 11:24        --------        d-----r-        c:\dokumente und einstellungen\Administrator.FELIX-E36528FB6\Eigene Dateien
2009-08-14 11:19 . 2009-08-14 11:19        --------        d-----w-        c:\dokumente und einstellungen\Administrator.FELIX-E36528FB6\Lokale Einstellungen\Anwendungsdaten\Symantec
2009-08-14 11:11 . 2009-08-14 11:11        --------        d-----w-        c:\dokumente und einstellungen\Administrator.FELIX-E36528FB6\Anwendungsdaten\Windows Search
2009-08-14 10:49 . 2009-08-20 12:21        619584        -c--a-w-        c:\windows\system32\dllcache\ntfs.sys
2009-08-14 08:45 . 2009-08-14 08:45        --------        d-----w-        c:\programme\Gemeinsame Dateien\PocketSoft
2009-08-14 08:45 . 2002-02-27 15:50        197120        ----a-w-        c:\windows\patchw32.dll
2009-08-14 05:25 . 2009-07-10 13:26        1315328        -c----w-        c:\windows\system32\dllcache\msoe.dll
2009-08-08 11:21 . 2009-08-08 11:21        3262        ----a-r-        c:\dokumente und einstellungen\Felix\Anwendungsdaten\Microsoft\Installer\{10209B87-55D6-493E-A30A-12A265AA324E}\_5b0b29e7.exe
2009-07-28 12:35 . 2007-01-03 12:16        40960        ----a-r-        c:\windows\system32\psfind.dll
2009-07-24 01:57 . 2009-07-24 01:57        41872        ----a-w-        c:\windows\system32\xfcodec.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-20 12:59 . 2009-03-08 13:49        --------        d-----w-        c:\dokumente und einstellungen\Felix\Anwendungsdaten\Skype
2009-08-20 12:58 . 2008-10-30 13:32        --------        d-----w-        c:\programme\Symantec AntiVirus
2009-08-20 12:23 . 2009-08-20 12:23        18635        ----a-w-        c:\programme\Gemeinsame Dateien\ugewoqyn._sy
2009-08-20 12:23 . 2009-08-20 12:23        13261        ----a-w-        c:\programme\Gemeinsame Dateien\qikyb.db
2009-08-20 11:41 . 2009-03-08 13:54        --------        d-----w-        c:\dokumente und einstellungen\Felix\Anwendungsdaten\skypePM
2009-08-19 16:00 . 2009-06-26 08:53        --------        d-----w-        c:\programme\Norton Security Scan
2009-08-19 12:35 . 2008-10-29 20:51        26448        ----a-w-        c:\dokumente und einstellungen\Felix\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-08-18 18:51 . 2006-02-28 12:00        94322        ----a-w-        c:\windows\system32\perfc007.dat
2009-08-18 18:51 . 2006-02-28 12:00        483630        ----a-w-        c:\windows\system32\perfh007.dat
2009-08-14 17:37 . 2008-10-29 20:39        --------        d--h--w-        c:\programme\InstallShield Installation Information
2009-08-14 08:49 . 2009-05-10 13:52        43520        ----a-w-        c:\windows\system32\CmdLineExt03.dll
2009-08-14 08:41 . 2008-10-30 16:44        --------        d-----w-        c:\dokumente und einstellungen\Felix\Anwendungsdaten\Atari
2009-08-09 07:52 . 2009-06-05 12:54        --------        d-----w-        c:\dokumente und einstellungen\Felix\Anwendungsdaten\Xfire
2009-08-05 08:59 . 2006-02-28 12:00        206336        ----a-w-        c:\windows\system32\mswebdvd.dll
2009-07-23 13:57 . 2009-02-17 14:53        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ulead Systems
2009-07-23 13:54 . 2009-06-22 17:20        --------        d-----w-        c:\programme\MTA San Andreas
2009-07-20 17:05 . 2009-05-19 17:39        --------        d-----w-        c:\dokumente und einstellungen\Felix\Anwendungsdaten\AdobeUM
2009-07-17 19:01 . 2009-07-17 19:01        58880        ----a-w-        c:\windows\system32\SET8A.tmp
2009-07-13 21:43 . 2006-02-28 12:00        286208        ----a-w-        c:\windows\system32\wmpdxm.dll
2009-07-10 09:54 . 2009-07-10 09:54        --------        d-----w-        c:\dokumente und einstellungen\Felix\Anwendungsdaten\TeamViewer
2009-07-10 09:54 . 2009-07-10 09:54        --------        d-----w-        c:\programme\TeamViewer
2009-07-10 06:54 . 2009-02-27 16:25        720896        ----a-w-        c:\windows\iun6002ev.exe
2009-07-02 07:28 . 2009-07-02 07:28        --------        d-----w-        c:\programme\Teamspeak2_RC2
2009-07-02 07:12 . 2009-07-02 07:12        --------        d-----w-        c:\dokumente und einstellungen\Felix\Anwendungsdaten\teamspeak2
2009-06-29 15:55 . 2006-02-28 12:00        827392        ----a-w-        c:\windows\system32\wininet.dll
2009-06-29 15:55 . 2006-02-28 12:00        78336        ----a-w-        c:\windows\system32\ieencode.dll
2009-06-29 15:55 . 2006-02-28 12:00        17408        ----a-w-        c:\windows\system32\corpol.dll
2009-06-26 08:53 . 2008-10-30 13:32        --------        d-----w-        c:\programme\Gemeinsame Dateien\Symantec Shared
2009-06-24 07:49 . 2009-06-08 16:12        --------        d-----w-        c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-06-23 12:00 . 2009-01-28 15:39        --------        d-----w-        c:\dokumente und einstellungen\Felix\Anwendungsdaten\Audacity
2009-06-22 14:42 . 2008-12-13 14:53        98304        ----a-w-        c:\windows\system32\CmdLineExt.dll
2009-06-16 14:36 . 2006-02-28 12:00        81920        ----a-w-        c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 2006-02-28 12:00        119808        ----a-w-        c:\windows\system32\t2embed.dll
2009-06-15 10:43 . 2006-02-28 12:00        78848        ----a-w-        c:\windows\system32\telnet.exe
2009-06-15 10:43 . 2006-02-28 12:00        82944        ----a-w-        c:\windows\system32\tlntsess.exe
2009-06-10 14:13 . 2006-02-28 12:00        85504        ----a-w-        c:\windows\system32\avifil32.dll
2009-06-10 07:19 . 2008-10-29 20:19        2066432        ----a-w-        c:\windows\system32\mstscax.dll
2009-06-10 06:14 . 2006-02-28 12:00        132096        ----a-w-        c:\windows\system32\wkssvc.dll
2009-06-03 19:09 . 2006-02-28 12:00        1296896        ----a-w-        c:\windows\system32\quartz.dll
2009-05-24 22:24 . 2008-05-26 21:18        350208        ------w-        c:\windows\system32\mssph.dll
2006-05-03 09:06 . 2009-08-15 14:42        163328        --sh--r-        c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-08-15 14:42        31232        --sh--r-        c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-08-15 14:42        216064        --sh--r-        c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((((  SnapShot@2009-08-20_12.13.18  )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-20 12:58 . 2009-08-20 12:58        16384              c:\windows\Temp\Perflib_Perfdata_75c.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2009-07-10 1174920]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2009-07-10 1174920]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-12 68856]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-02-04 23975720]
"msword98"="c:\dokumente und einstellungen\Felix\msword98.exe" [2009-08-16 26686]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="c:\programme\Nero\Nero 7\InCD\NBHGui.exe" [2007-11-26 1629480]
"InCD"="c:\programme\Nero\Nero 7\InCD\InCD.exe" [2007-11-26 1057064]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-07-12 48752]
"vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2005-08-19 86112]
"D-Link AirPlus G"="c:\programme\D-Link\AirPlus G\AirGCFG.exe" [2006-11-17 1552384]
"ANIWZCS2Service"="c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2006-06-29 49152]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-23 136600]
"msword98"="c:\windows\system32\msword98.exe" [2009-08-16 26686]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-02-13 16857600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Felix\Startmen\Programme\Autostart\
ikowin32.exe [2008-4-14 23552]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\Ubisoft\\Crytek\\Far Cry\\Bin32\\FarCry.exe"=
"d:\\Programme\\Metin2_Germany\\metin2.bin"=
"d:\\Programme\\Ubisoft\\Crytek\\Far Cry\\Bin32\\Editor.exe"=
"d:\\Programme\\THQ\\Titan Quest\\Titan Quest.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"d:\\Programme\\THQ\\Titan Quest Immortal Throne\\Tqit.exe"=
"d:\\Programme\\Xfire\\Xfire.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
"d:\\Programme\\Stormregion\\S.W.I.N.E\\swine.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6969:TCP"= 6969:TCP:Kommunikation mit Tracker
"6881:TCP"= 6881:TCP:Kommunikation mit anderen Clients
"6882:TCP"= 6882:TCP:Kommunikation mit anderen Clients
"6883:TCP"= 6883:TCP:Kommunikation mit anderen Clients
"6884:TCP"= 6884:TCP:Kommunikation mit anderen Clients
"6885:TCP"= 6885:TCP:Kommunikation mit anderen Clients
"6886:TCP"= 6886:TCP:Kommunikation mit anderen Clients
"6887:TCP"= 6887:TCP:Kommunikation mit anderen Clients
"6888:TCP"= 6888:TCP:Kommunikation mit anderen Clients
"6889:TCP"= 6889:TCP:Kommunikation mit anderen Clients

R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [29.10.2008 23:12 84992]
S3 SavRoam;SAVRoam;c:\programme\Symantec AntiVirus\SavRoam.exe [19.08.2005 17:57 128608]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - EraserUtilDrv10910
*Deregistered* - EraserUtilRebootDrv
.
Inhalt des "geplante Tasks" Ordners

2009-08-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-08-19 c:\windows\Tasks\Norton Security Scan for Felix.job
- c:\programme\Norton Security Scan\Nss.exe [2009-03-13 18:20]

2009-08-20 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\programme\Ask.com\UpdateTask.exe [2009-07-10 15:29]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-PC Antispyware 2010 - c:\programme\PC_Antispyware2010\PC_Antispyware2010.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
FF - ProfilePath - c:\dokumente und einstellungen\Felix\Anwendungsdaten\Mozilla\Firefox\Profiles\g76twvol.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Ask.com
FF - prefs.js: browser.startup.homepage - www.google.de
FF - prefs.js: keyword.URL - hxxp://supertoolbar.ask.com/redirect?client=ff&src=kw&tb=BT3&o=14979&locale=de_DE&q=
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-20 14:59
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1214440339-838170752-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:83,48,79,2a,b6,b0,17,a3,e0,60,38,3e,01,09,f2,da,1d,17,36,5d,94,18,9b,
  71,03,fa,aa,b8,4a,f1,5c,b9,c6,98,4a,ac,6e,be,78,16,a5,6c,a3,4d,14,95,fa,63,\
"??"=hex:a2,67,7b,05,4d,31,fb,2a,2b,ed,0c,6e,3b,68,d2,b3

[HKEY_USERS\S-1-5-21-1214440339-838170752-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:d5,d7,85,a0,ab,f3,46,d5,a0,7b,ae,a6,50,5f,1b,28,2d,4c,1a,94,06,
  3d,f2,f4,f6,d3,f8,65,a2,9e,b5,e5,60,1b,ce,b1,2c,62,d0,31,e4,00,35,ab,bd,fb,\
"rkeysecu"=hex:4f,3e,bb,d3,8d,4b,82,fe,d7,56,e8,71,ca,d5,9f,ea
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(768)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2460)
c:\programme\Windows Desktop Search\deskbar.dll
c:\programme\Windows Desktop Search\de-de\dbres.dll.mui
c:\programme\Windows Desktop Search\dbres.dll
c:\programme\Windows Desktop Search\wordwheel.dll
c:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
c:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
c:\programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
c:\programme\Symantec AntiVirus\DefWatch.exe
c:\programme\Nero\Nero 7\InCD\InCDsrv.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\programme\Symantec AntiVirus\Rtvscan.exe
c:\windows\system32\searchindexer.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-20 15:01 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-08-20 13:01
ComboFix2.txt  2009-08-20 12:15

Vor Suchlauf: 8 Verzeichnis(se), 30.230.990.848 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 30.172.651.520 Bytes frei

275        --- E O F ---        2009-08-18 18:51

KarlKarl 20.08.2009 15:48
Das ist ja fast nur noch Malware, diverse Backdoors, Rootkit :aplaus:

Zeit für Plan B
Zitat:
Also entweder kannst du neuaufsetzten, oder es wird mit Combofix versucht.
Oder eigentlich Plan A.

Eine Woche ist jetzt fast schon rum und in der ging es nur abwärts, soll es ein Monat werden?

4RobSen8 20.08.2009 18:11
Ok, sieht mies aus.
Bitte noch kurz beide Logs von RSIT.

FileX 20.08.2009 19:09
Okay hier Log von RSIT als Anhang...


Was versteht ihr von neuaufsetzen? Meint ihr Festplatte formatieren und Windows neu draufziehn? Wäre eher schlecht, da ich die Windows XP CD verbummelt habe, und erstmal das Haus durchsuchen müsste...

Naja, bin recht verzweifelt, Windows spammt in 3 Sekunden "Your computer is infected!", jede 5 min. kommt ne Meldung das Malware auf dem PC ist...

Das komische ist, das zusätzlich diese Meldung gelegentlich erscheint:

http://s1.directupload.net/images/09...p/iqpg5eor.jpg

Komisch?!

Das geht mir auf die ...

Naja ich hoffe es gibt noch ne Lösung... Scan von Malwarebytes hat sage und schreibe 35 infizierte Dateien ergeben...

Na dann Prost Mahlzeit!

john.doe 20.08.2009 19:19
Das Bild ist ein Fake, immer auf Abbrechen klicken oder Prozess über Taskmanager beenden.
Zitat:
Was versteht ihr von neuaufsetzen? Meint ihr Festplatte formatieren und Windows neu draufziehn?
Ja.
Zitat:
Wäre eher schlecht, da ich die Windows XP CD verbummelt habe, und erstmal das Haus durchsuchen müsste...
Ist aber vermutlich immer noch schneller als eine Reinigung, die mindestens weitere 5 Tage dauert, kann auch mehr werden. :D

Es fehlt noch die info.txt von RSIT.

Start => Ausführen => c:\rsit\info.txt => OK

ciao, andreas

FileX 20.08.2009 19:22
Ups, hab ich vergessen^^

Anhang!

john.doe 20.08.2009 19:45
1.) Deinstalliere:
  • Apple Software Update
  • Adobe Reader 7.0 - Deutsch
  • Ask Toolbar
  • Google Toolbar for Internet Explorer
  • Java(TM) 6 Update 11
  • Yahoo! Toolbar
2.) Scripten mit Combofix
  • Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
KILLALL::

Driver::
a522823
gusvc
WSearch
InCDsrv
GMSIPCI
EagleNT
catchme
InCDfs
InCDPass
incdrm

RegLockDel::
[HKLM\SYSTEM\ControlSet001\Services\a522823]
[HKLM\SYSTEM\controlset002\Services\a522823]

Registry::
[-HKLM\SYSTEM\ControlSet001\Services\a522823]
[-HKLM\SYSTEM\controlset002\Services\a522823]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"swg"=-
"Skype"=-
"msword98"=-
"braviax"=-
"ctfmon.exe"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"SecurDisc"=-
"InCD"=-
"RTHDCPL"=-
"SunJavaUpdateSched"=-
"msword98"=-
"braviax"=-
"PromoReg"=-
"17073124"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6969:TCP"=-
"6881:TCP"=-
"6882:TCP"=-
"6883:TCP"=-
"6884:TCP"=-
"6885:TCP"=-
"6886:TCP"=-
"6887:TCP"=-
"6888:TCP"=-
"6889:TCP"=-

Folder::
C:\WINDOWS\Temp
C:\Programme\Ask.com
C:\Programme\BitTorrent
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\BitTorrent
C:\CrashReport
C:\Config.Msi
C:\WINDOWS\SxsCaPendDel

File::
C:\WINDOWS\System32\drivers\a522823.sys
C:\WINDOWS\system32\SET136.tmp
C:\WINDOWS\system32\SET137.tmp
C:\WINDOWS\system32\SET138.tmp
C:\Programme\Gemeinsame Dateien\lutewyt.exe
C:\Programme\Gemeinsame Dateien\maly.vbs
C:\Programme\Gemeinsame Dateien\ujotuqot.vbs
C:\WINDOWS\system32\braviax.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\17073124
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
c:\windows\system32\tuwys.sys
c:\programme\Gemeinsame Dateien\evehoky.dat
c:\programme\Gemeinsame Dateien\ujotuqot.vbs
c:\windows\kokybepacy.bin
c:\programme\Gemeinsame Dateien\maly.vbs
c:\programme\Gemeinsame Dateien\lutewyt.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\gewifu.sys
c:\dokumente und einstellungen\All Users\Anwendungsdaten\yhafahy.scr
c:\dokumente und einstellungen\All Users\Anwendungsdaten\subedixe.sys
c:\windows\system32\msword98.exe
c:\dokumente und einstellungen\Felix\msword98.exe
c:\programme\Gemeinsame Dateien\ugewoqyn._sy
c:\programme\Gemeinsame Dateien\qikyb.db

DirLook::
c:\dokumente und einstellungen\Felix
c:\windows\system32
c:\programme\Gemeinsame Dateien
c:\dokumente und einstellungen\All Users\Anwendungsdaten
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt auf das Sysmbol von Combofix ziehen!
http://users.pandora.be/bluepatchy/m...s/CFScript.gif
  • Danach das Log von Combofix ohne zu Editieren posten. Nur wenn dein Vor- und Nachname ersichtlich ist, dann entferne ihn.


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

FileX 20.08.2009 19:47
Okay, das werd ich dann morgen gleich machen, wenn ich von der Schule zurück bin... oder vielleicht noch jetzt, mal sehen :)

Das sieht auf jedenfall schonmal wirksam aus =D

lg und gn8

john.doe 20.08.2009 19:50
Besser sofort. Der Downloader lädt schneller nach als ich löschen kann. :D

ciao, andreas


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:15 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27