Trojaner-Board - Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm (https://www.trojaner-board.de/92197-firefox-loggt-alle-zugriffsdaten-verzeichnis-windows-system32-xmldm.html)

Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm

Hallo Freunde,

verwende Firefox in der aktuellsten Version (3.6.11) auf Windows XP prof.

Ein Scan mit Malwarebytes' Anti-Malware hat mich auf das Verzeichnis C:\Windows\system32\xmldm aufmerksam gemacht. (Stolen Data).

Mit diesem Verzeichnis kann ich folgendes Verhalten beobachten:
Sobald ich mit Firefox eine Seite öffne, die Login-Daten erfordert, werden dort Dateien angelegt nach folgendem Muster:
3204_FF_0000000989_ifrm.htm
3204_FF_0000000990_ifrm.htm
3204_FF_0000000991.pst
3204_FF_0000000992_ifrm.htm

Die ersten beiden Dateien wurden beispielsweise erstellt in dem Moment, als ich auf die T-Online-Seite kam. Wenn ich dann meine Zugangsdaten eingebe werden die beiden nächsten Dateien erstellt. Die *.htm Dateien scheinen die Abbilder der besuchten Seiten zu sein. Sie enthalten soweit ich das beurteilen kann die URL der Originalseite mit zig Parametern. Die.pst Datei enthält ebenfalls eine URL und mittendrin meine gesendeten Zugangsdaten in Klarschrift. Die letzte Datei gibt dann wohl das Ergebnis wieder, ob der Zugang erfolgreich war oder nicht.

Ich weiß nicht, ob das bei jeder Seite passiert, die ein Formular enthält oder nur bei https . Ich vermute letzteres.

Dieses Verhalten gibt es nur bei Firefox. Dieselbe Seite in IE6 geöffnet passiert nix (hopefully ... zumindest nicht an dieser Stelle). Wenn man das Verzeichnis löscht, wird es neu angelegt und befüllt, sobald man mit FF auf eine entsprechende Seite kommt.

Ich verwende Avira Antivir Personal. Ein Komplettscan des System zeigt keinerlei Infektion oder sonstige Hinweise. Ein Komplettscan mit MalwareBytes zeigt mir das Verzeichnis xmldm mit dem Hinweis "Stolen.Data" an, gibt aber ansonsten für alle Infektionsarten 0 aus.

Hat jemand eine Idee, was das sein könnte und wie man´s wieder los wird.

Vielen Dank für eure Mühe.

Zitat:

Ein Komplettscan mit Malwarebytes zeigt mir das Verzeichnis xmldm mit dem Hinweis "Stolen.Data" an, gibt aber ansonsten für alle Infektionsarten 0 aus.

Das Log bitte immer posten!

Sorry, nix gedacht.
Vor allem hatte ich nicht dran gedacht bei meinem "Komplettscan" die externen Festplatten mit zu brücksichtigen. Also nochmal von vorne:

1. Komplettscan mit MalwareByte findet Infektionen: mbam-log-2010-10-26 (08-57-30) ... das sind die externen Platten, die ich vergessen hatte.

2. Infektionen beseitigt / Reboot / erneuter Komplettscan, diesmal ohne Befund: mbam-log-2010-10-26 (12-31-39)

3. Firefox starten: In diesem Moment wird das Verzeichnis windows/system32/xmldm angelegt.

4. irgendeine Seite mit https aufrufen (in diesem Fall t-online.de) und die ersten Dateien tauchen im Verzeichnis xmldm auf.

5. Einloggen als MEINNAME mit MEINPASSWORT und dann in der frischerstellten *.pst-Datei genauso nachzulesen.

6. diesmal nur Quickscan: mbam-log-2010-10-26 (17-14-43)

7. goto 2.

------
Danke
Jürgen

... ups! Schon wieder nix gedacht: Load und die anderen Protokolle folgen nach

So, nochmals sorry, ich hoffe ich hab nun alles richtig gemacht.

Alle Logs im Anhang,
defogger_disable lässt sich nicht anfügen. Inhalt wie folgt:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 18:40 on 26/10/2010 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=-

Zitat:

[2010.10.25 16:44:47 | 000,000,000 | ---D | C] -- C:\Qoobox

1. sollte Combofix nur auf Anweisung hin ausgeführt werden
2. darfst Du auch das Log nicht einfach weglassen

Hallo Arne,
ich mach schon mehrere Tage rum und hab in der Zeit so ziemlich alles ausprobiert, was irgendwo mal empfohlen wurde. Wahrscheinlich hab ich´s dadurch nur schlimmer gemacht. Combofix ist irgendwann früher mal gelaufen. Das Log, das du ansprichst ist wahrscheinlich das im Anhang. Als ich dann dieses Forum gefunden habe, ist mir klar geworden, dass ich´s alleine nicht schaffen kann und vor allem einen roten Faden reinbringen muss. Aus meinen Mails kannst du sicher rauslesen, dass ich etwas durch den Wind war/bin.
Siehst du eine Chance, dass noch was zu retten ist? Danke für deine Hilfe.
Jürgen

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

@Alternate Data Stream - 951 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:ivIv6dDUpE1Aygfy55WGg33WYS

@Alternate Data Stream - 789 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:dK5PP84onzag4IvvD2xGTCUq

@Alternate Data Stream - 780 bytes -> C:\Programme\WindowsUpdate:QaXdOyoyO0W4f6eYMLxYXDpqb

@Alternate Data Stream - 100 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:CC9DD8FE

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Ok, ist gelaufen.
Log im Anhang
Reboot war nötig
im Verzeichnis MovedFiles steht am Ende ../System32/drivers/etc/hosts

LOG will sich nicht anhängen lassen ("ungültige Datei" ?)

10282010_145731.log

All processes killed
========== OTL ==========
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:ivIv6dDUpE1Aygfy55WGg33WYS deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:dK5PP84onzag4IvvD2xGTCUq deleted successfully.
ADS C:\Programme\WindowsUpdate:QaXdOyoyO0W4f6eYMLxYXDpqb deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:CC9DD8FE deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: l-vis
->Temp folder emptied: 108472752 bytes
->Temporary Internet Files folder emptied: 23155761 bytes
->Java cache emptied: 221949 bytes
->FireFox cache emptied: 20212898 bytes
->Flash cache emptied: 554 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: SysBuilder
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 5010 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 145,00 mb

OTL by OldTimer - Version 3.2.17.1 log created on 10282010_145731

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ok, ComboFix ist gelaufen.
ich habe deine Anweisungen so verstanden, dass zuerst CCleaner durchgeführt werden muss. Die Anleitung dazu ist nicht mehr 100% uptodate. Statt der yahoo-Toolbar gab`s eine Seite weiter eine Google-Toolbar (aufpassen, dass die nicht aus versehen mit installiert wird !)
Der Avira-Schlüssel blieb zum Schluss noch wie beschrieben übrig.

Combofix hat dann auch prompt avira angemeckert und das gleich 4x, ich kann Avira aber nur deaktivieren, nicht ganz ausschalten.

Reboot gab´s auch keinen nach Combofix. Statt C:\Combofix habe ich ein Verzeichnis C:\cmdcons erhalten und das Log befand sich an anderer Stelle. Anyway, here it is:

Combofix Logfile:

Code:

ComboFix 10-10-27.A3 - l-vis 28.10.2010  23:17:44.2.1 - x86

Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.511 [GMT 2:00]

ausgeführt von:: c:\dokumente und einstellungen\l-vis\Desktop\Cofi.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00FC-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-010D-0D24-347CA8A3377C}

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\windows\system32\xmldm
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-09-28 bis 2010-10-28  ))))))))))))))))))))))))))))))

.
 

2010-10-28 12:57 . 2010-10-28 12:57        --------        d-----w-        C:\_OTL

2010-10-26 16:26 . 2010-10-26 16:27        --------        d-----w-        c:\programme\ERUNT

2010-10-07 18:04 . 2010-10-23 09:34        --------        d-----w-        c:\dokumente und einstellungen\l-vis\TV-Browser

2010-10-07 18:04 . 2010-10-07 18:04        --------        d-----w-        c:\programme\TV-Browser

2010-10-05 19:59 . 2010-10-05 19:59        --------        d-----w-        c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Malwarebytes

2010-10-05 19:59 . 2010-04-29 13:39        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys

2010-10-05 19:59 . 2010-10-05 19:59        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware

2010-10-05 19:59 . 2010-10-05 19:59        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-10-05 19:59 . 2010-04-29 13:39        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys

2010-10-05 19:23 . 2010-10-28 20:51        --------        d-----w-        c:\programme\CCleaner

2010-10-04 09:22 . 2010-10-04 09:22        --------        d-----w-        c:\dokumente und einstellungen\l-vis\.thumbnails
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-10-19 15:38 . 2007-06-30 10:09        164880        ---ha-w-        c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Microsoft\Virtual PC\VPCKeyboard.dll

2010-09-28 08:11 . 2006-07-15 18:39        60416        ----a-w-        c:\windows\ALCFDRTM.VER

2006-05-03 09:06        163328        --sh--r-        c:\windows\system32\flvDX.dll

2007-02-21 10:47        31232        --sh--r-        c:\windows\system32\msfDX.dll

2008-03-16 12:30        216064        --sh--r-        c:\windows\system32\nbDX.dll

.
 

(((((((((((((((((((((((((((((   SnapShot@2010-10-25_15.01.50   )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-10-26 16:28 . 2010-10-26 16:28        61440              c:\windows\ERDNT\26.10.2010\Users\00000004\UsrClass.dat

+ 2010-10-26 16:28 . 2010-10-26 16:28        8192              c:\windows\ERDNT\26.10.2010\Users\00000006\UsrClass.dat

+ 2010-10-26 16:28 . 2010-10-26 16:28        8192              c:\windows\ERDNT\26.10.2010\Users\00000002\UsrClass.dat

+ 2010-10-26 16:28 . 2010-10-26 16:28        237568              c:\windows\ERDNT\26.10.2010\Users\00000005\NTUSER.DAT

+ 2010-10-26 16:28 . 2010-10-26 16:28        237568              c:\windows\ERDNT\26.10.2010\Users\00000001\NTUSER.DAT

+ 2010-10-26 16:28 . 2005-10-20 10:02        163328              c:\windows\ERDNT\26.10.2010\ERDNT.EXE

+ 2005-09-29 15:07 . 2010-10-25 23:13        2396176              c:\windows\system32\FNTCACHE.DAT

+ 2010-10-26 16:28 . 2010-10-26 16:28        16678912              c:\windows\ERDNT\26.10.2010\Users\00000003\NTUSER.DAT

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2007-12-30 1365504]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]

"nwiz"="nwiz.exe" [2008-05-03 1630208]

"SoundMan"="SOUNDMAN.EXE" [2006-06-21 577536]

"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]

"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 19968]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]

"VirtualCloneDrive"="c:\programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-06-17 85160]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-7-19 113664]

Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-10-3 813584]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2009-07-20 10:28        72208        ----a-w-        c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]

2007-08-30 05:32        61440        ----a-r-        c:\programme\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

2005-12-07 21:57        30208        ------w-        c:\programme\PowerDVD\PDVDServ.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SansaDispatch]

2007-10-22 11:52        75584        ----a-w-        c:\programme\Sandisk\Sansa Updater\SansaDispatch.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"RichVideo"=2 (0x2)

"Adobe LM Service"=3 (0x3)
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Adobe_ID0EYTHM"=c:\progra~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE

"WinSys2"=c:\windows\system32\winsys2.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=

"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=

"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server

"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server

"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server

"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server
 

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.08.2009 21:36 108289]

R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [03.10.2009 23:32 10384]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]

S4 Mouautidcim;Mouautidcim; [x]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = about:blank

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyOverride = *.local

IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201

IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204

IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203

IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202

IE: Download by GAS - c:\progra~1\GETASF~1\ie_MenuExt.htm

IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

FF - ProfilePath - c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/

FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=de&q=

FF - component: c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll

FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\component.dll

FF - component: c:\programme\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll

FF - component: c:\windows\system32\5003\components\AcroFF003.dll

FF - plugin: c:\dokumente und einstellungen\l-vis\Anwendungsdaten\Mozilla\Firefox\Profiles\l7b24jg4.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll

FF - plugin: c:\programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll

FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
 

---- FIREFOX Richtlinien ----

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true);  // Traditional

c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true);  // Simplified

c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

.

------- Dateityp-Verknüpfung -------

.

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-10-28 23:22

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_USERS\S-1-5-21-707146639-3514485727-2526177058-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{0B4301F9-2D2F-1215-19C1-D069FCD8917B}*]

"oaefccecinhbnhcjmjacepnpeodcgo"=hex:64,61,65,64,62,6d,6d,66,00,d0

"oaagimkjimhmbjpfkelieoncppnfcj"=hex:6a,61,65,64,70,6c,66,67,62,67,64,66,6c,6d,

   6c,70,62,67,66,6a,00,fd

"naodmckcjmlbfgdjjonhmnnflgdm"=hex:6a,61,65,64,70,6c,66,67,62,67,64,66,6c,6d,

   6c,70,62,67,66,6a,00,fd
 

[HKEY_USERS\S-1-5-21-707146639-3514485727-2526177058-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{46CA0A83-C9D3-257D-1BAF-C9F96110EA81}*]

"oadcojgpmpjljmnegbihbdjbkaogob"=hex:6b,61,63,70,67,62,63,6b,63,6c,6d,69,6b,66,

   62,6c,6e,6d,6f,6f,65,6f,00,00

"nanaeihhoeemfkelkcddmfkaboeh"=hex:6a,61,70,6f,65,62,6f,6f,61,6e,6d,67,6f,61,

   68,61,63,66,6d,6e,00,fd

"oapaokkfmabgimhilckoabmhacpfnp"=hex:64,61,70,6f,65,62,66,62,00,60

"ealaokgpkn"=hex:61,61,00,00

"caabel"=hex:6c,62,64,70,67,6d,6f,6f,6b,70,6f,65,6b,6a,6f,64,70,6a,62,61,62,62,

   70,6e,66,69,62,6b,6c,6e,6a,6c,70,65,69,6c,69,69,67,63,66,67,6b,70,66,6c,6d,\
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"
 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(908)

c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll

c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
 

- - - - - - - > 'explorer.exe'(1716)

c:\programme\Logitech\SetPoint\lgscroll.dll

c:\windows\system32\SSSensor.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

c:\windows\system32\msi.dll

.

Zeit der Fertigstellung: 2010-10-28  23:25:28

ComboFix-quarantined-files.txt  2010-10-28 21:25
 

Vor Suchlauf: 1.389.957.120 Bytes frei

Nach Suchlauf: 1.375.481.856 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
 

- - End Of File - - 8EDE3C13F2A8DD556B65C607ADAAD283

--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

Seccenter::

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00FC-0D24-347CA8A3377C}

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-010D-0D24-347CA8A3377C}
 

Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"=-
 

Regnull::

[HKEY_USERS\S-1-5-21-707146639-3514485727-2526177058-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{0B4301F9-2D2F-1215-19C1-D069FCD8917B}*]

[HKEY_USERS\S-1-5-21-707146639-3514485727-2526177058-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{46CA0A83-C9D3-257D-1BAF-C9F96110EA81}*]
 

Driver::

Mouautidcim

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Aktuelles Combofix-log
... hat das Ding, das wir hier bekämpfen einen Namen?

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Die gewünschten Logs im Anhang

... ein kleines Dankeschön für deine Mühe zwischendurch !

Jürgen