| Schleuder | 14.11.2010 22:13 |
und das kam dabei rum:
Combofix Logfile: Code:
ComboFix 10-11-13.01 - Moritz 14.11.2010 22:02:08.1.2 - x86
ausgeführt von:: c:\dokumente und einstellungen\Moritz\Desktop\confi.exe.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\programme\pdfforge Toolbar\SeARchsettings.dll
c:\windows\system32\dmlconf.dat
c:\windows\system32\fldlckun.exe
c:\windows\system32\qtplugin.exe
c:\programme\microsoft\WaterMark.exe . . . . Nicht in der Lage zu löschen
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_BOONTY_GAMES
-------\Legacy_NPF
-------\Service_Boonty Games
((((((((((((((((((((((( Dateien erstellt von 2010-10-14 bis 2010-11-14 ))))))))))))))))))))))))))))))
.
2010-11-14 20:59 . 2010-11-14 20:59 61952 ----a-w- c:\windows\Explorermgr.exe
2010-11-14 20:33 . 2010-10-27 06:13 25048 ------w- c:\programme\Mozilla Firefox\components\browserdirprovider.dll
2010-11-14 20:33 . 2010-10-27 06:13 140248 ------w- c:\programme\Mozilla Firefox\components\brwsrcmp.dll
2010-11-14 19:10 . 2010-11-14 19:10 -------- d-----w- C:\_OTL
2010-11-14 19:06 . 2010-11-14 19:06 -------- d-----w- c:\windows\Internet Logs
2010-11-12 15:58 . 2010-10-27 06:13 719832 ------w- c:\programme\Mozilla Firefox\mozcpp19.dll
2010-11-12 15:58 . 2010-10-27 06:13 16856 ------w- c:\programme\Mozilla Firefox\plugin-container.exe
2010-11-12 15:57 . 2010-11-12 15:57 453079 ----a-r- c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-11-12 15:57 . 2010-11-12 15:57 -------- d-----w- c:\programme\Trend Micro
2010-11-11 21:13 . 2010-11-11 21:13 -------- d-----w- c:\programme\CCleaner
2010-11-11 21:00 . 2010-11-11 21:00 -------- d-----w- c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Malwarebytes
2010-11-11 21:00 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-11 21:00 . 2010-11-11 21:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-11 20:59 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-11-11 20:59 . 2010-11-11 21:00 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-11-11 20:08 . 2010-11-14 21:07 -------- d-----w- c:\programme\Microsoft
2010-11-07 19:55 . 2010-11-07 20:09 2829 ----a-w- c:\windows\War3Unin.pif
2010-11-07 19:55 . 2010-11-07 20:09 139264 ----a-w- c:\windows\War3Unin.exe
2010-11-07 19:53 . 2010-11-09 20:30 -------- d-----w- c:\programme\Warcraft III
2010-11-05 16:50 . 2010-11-05 17:30 -------- d-----w- c:\windows\system32\CatRoot_bak
2010-11-05 16:32 . 2008-06-14 17:57 273024 -c----w- c:\windows\system32\dllcache\bthport.sys
2010-11-05 16:29 . 2010-02-24 12:31 454016 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2010-11-05 16:29 . 2009-11-21 16:37 470528 -c----w- c:\windows\system32\dllcache\aclayers.dll
2010-11-05 16:29 . 2010-06-14 14:30 743936 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2010-11-05 16:28 . 2009-03-06 14:44 286208 -c----w- c:\windows\system32\dllcache\pdh.dll
2010-11-05 16:28 . 2009-02-09 10:18 399360 -c----w- c:\windows\system32\dllcache\rpcss.dll
2010-11-05 16:28 . 2009-02-09 10:18 473088 -c----w- c:\windows\system32\dllcache\fastprox.dll
2010-11-05 16:28 . 2009-02-06 16:39 227840 -c----w- c:\windows\system32\dllcache\wmiprvse.exe
2010-11-05 16:28 . 2005-07-26 04:39 60416 -c----w- c:\windows\system32\dllcache\colbact.dll
2010-11-05 16:28 . 2009-02-09 10:18 677888 -c----w- c:\windows\system32\dllcache\advapi32.dll
2010-11-05 16:28 . 2009-02-09 10:18 740352 -c----w- c:\windows\system32\dllcache\ntdll.dll
2010-11-05 16:28 . 2009-02-09 10:18 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll
2010-11-05 16:28 . 2009-02-09 10:04 111104 -c----w- c:\windows\system32\dllcache\services.exe
2010-11-05 16:27 . 2009-06-21 22:05 153088 -c--a-w- c:\windows\system32\dllcache\triedit.dll
2010-11-05 16:27 . 2009-06-21 22:05 153088 ----a-w- c:\programme\Gemeinsame Dateien\Microsoft Shared\Triedit\triedit.dll
2010-11-05 16:27 . 2009-10-23 14:27 3555328 -c--a-w- c:\windows\system32\dllcache\moviemk.exe
2010-11-05 16:27 . 2009-10-23 14:27 3555328 ----a-w- c:\programme\Movie Maker\moviemk.exe
2010-11-05 16:23 . 2008-05-01 14:30 331776 -c--a-w- c:\windows\system32\dllcache\msadce.dll
2010-11-05 16:23 . 2008-05-01 14:30 331776 ----a-w- c:\programme\Gemeinsame Dateien\System\msadc\msadce.dll
2010-11-05 16:20 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-11-05 16:17 . 2009-06-05 07:42 655872 -c----w- c:\windows\system32\dllcache\mstscax.dll
2010-11-05 16:16 . 2009-07-31 04:58 1172480 -c----w- c:\windows\system32\dllcache\msxml3.dll
2010-11-05 06:22 . 2009-08-06 18:24 18144 ----a-w- c:\windows\system32\wuaueng.dll.mui
2010-11-05 06:22 . 2009-08-06 18:24 15584 ----a-w- c:\windows\system32\wuapi.dll.mui
2010-11-05 06:22 . 2009-08-06 18:24 15584 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2010-11-05 06:22 . 2009-08-06 18:24 23264 ----a-w- c:\windows\system32\wucltui.dll.mui
2010-11-04 19:02 . 2010-11-04 19:02 -------- d-----w- c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Avira
2010-11-04 18:56 . 2010-11-04 18:56 -------- d-----w- c:\dokumente und einstellungen\Moritz\Anwendungsdaten\CheckPoint
2010-11-04 18:55 . 2010-11-04 18:55 -------- d-----w- c:\programme\CheckPoint
2010-11-04 18:55 . 2010-06-28 12:00 46592 ----a-w- c:\windows\system32\vsutil_loc0407.dll
2010-11-04 18:50 . 2010-11-04 18:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-11-04 18:50 . 2010-08-02 15:09 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-11-04 18:50 . 2010-06-17 14:27 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2010-11-04 18:50 . 2010-06-17 14:27 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2010-11-04 18:36 . 2008-01-17 17:59 713216 -c----w- c:\windows\system32\dllcache\sxs.dll
2010-11-02 19:23 . 2010-11-02 19:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2010-11-02 18:50 . 2010-11-02 18:50 -------- d-----w- c:\dokumente und einstellungen\Moritz\Lokale Einstellungen\Anwendungsdaten\AOL
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-01 21:02 . 2009-05-01 21:02 1110360 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 266687 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-04-20 198160]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-09-29 149280]
"starter4g"="c:\windows\starter4g.exe" [2009-10-29 157456]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-18 991727]
"SearchSettings"="c:\programme\pdfforge Toolbar\SearchSettings.exe" [2009-07-29 1089417]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-09-04 483854]
"NvMediaCenter"="NvMCTray.dll" [2009-11-20 110184]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 61952]
"Gainward"="c:\windows\TBPanel.exe" [2007-03-23 2173744]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2009-09-05 385024]
"basicsmssmenu"="c:\programme\Seagate\Basics\Basics Status\MaxMenuMgrBasics.exe" [2007-10-09 169328]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-08-02 281768]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,,c:\programme\microsoft\watermark.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"rpcapd"=3 (0x3)
"PnkBstrA"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\1&1\\IGDCTRL.EXE"=
"c:\\Programme\\1&1\\FBoxUpd.exe"=
"c:\\Programme\\1&1\\WebwaIgd.exe"=
"m:\\Games\\EA GAMES\\Battlefield 2\\BF2.exe"=
"m:\\Games\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"=
"m:\\Games\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"m:\\Games\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\Programme\\THQ\\Company of Heroes\\RelicCOH.exe"=
"c:\\Programme\\THQ\\Company of Heroes\\RelicDownloader\\RelicDownloader.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 rsvcdwdr;rsvcdwdr;c:\windows\system32\drivers\rsvcdwdr.sys [12.07.2009 09:42 27680]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [13.12.2009 18:36 691696]
R1 MemAlloc;MemAlloc;c:\windows\system32\drivers\MemAlloc.sys [17.03.2008 21:03 10016]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [04.11.2010 19:50 135336]
R2 IGDCTRL;AVM IGD CTRL Service;c:\programme\1&1\IGDCTRL.EXE [25.10.2007 17:09 87344]
R2 WTGService;WTGService;c:\programme\XSManager\WTGService.exe [03.02.2010 15:49 304592]
R2 XS Stick Service;XS Stick Service;c:\windows\service4g.exe [03.02.2010 15:49 125200]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;c:\windows\system32\drivers\atl01_xp.sys [09.06.2007 13:39 34944]
S1 LStone;Pinnacle Systems Studio AV/DV Overlay;c:\windows\system32\DRIVERS\lstone2k.sys --> c:\windows\system32\DRIVERS\lstone2k.sys [?]
S2 Virtual CDAudio Service;Virtual CDAudio Service;"c:\dokumente und einstellungen\Moritz\Desktop\RapidSolution\Tunebite\vcdw\VCDAudioService.exe" --> c:\dokumente und einstellungen\Moritz\Desktop\RapidSolution\Tunebite\vcdw\VCDAudioService.exe [?]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [24.09.2007 17:09 16384]
S3 bfastfao;bfastfao;\??\c:\dokume~1\Moritz\LOKALE~1\Temp\bfastfao.sys --> c:\dokume~1\Moritz\LOKALE~1\Temp\bfastfao.sys [?]
S3 cmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCT2053s;c:\windows\system32\drivers\cmnsusbser.sys [03.02.2010 15:49 103424]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys --> c:\windows\system32\drivers\massfilter.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
Trusted Zone: 1und1.de\maxdome
FF - ProfilePath - c:\dokumente und einstellungen\Moritz\Anwendungsdaten\Mozilla\Firefox\Profiles\khn973m0.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.antifa.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.7&q=
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPStreamPlug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
URLSearchHooks-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
BHO-{B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
BHO-{E312764E-7706-43F1-8DAB-FCDD2B1E416D} - (no file)
HKLM-Run-nwiz - nwiz.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-11-14 22:08
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-1123561945-1284227242-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:c2,7e,aa,75,46,60,70,15,79,03,03,0f,fa,2b,69,08,36,6b,4d,fa,3b,6c,9f,
06,54,54,93,78,07,05,dd,25,77,d6,9d,7a,c5,f2,9e,16,2d,6f,ba,04,5b,9e,e3,bc,\
"??"=hex:a8,6f,28,82,d4,ee,de,09,84,51,9e,46,93,12,d1,92
[HKEY_USERS\S-1-5-21-1123561945-1284227242-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:3d,0f,9b,39,70,a0,7a,e9,ce,d3,61,1b,f7,23,7e,54,52,15,2a,13,ff,
bb,14,82,c8,a0,c7,d4,1d,16,b9,b6,53,32,99,87,34,ad,8f,b4,b5,b5,8a,76,fa,c0,\
"rkeysecu"=hex:15,de,08,69,5b,35,c3,38,28,5a,f0,1d,7b,a0,a7,9a
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(940)
c:\windows\system32\sxs.dll
- - - - - - - > 'explorer.exe'(1712)
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Seagate\Basics\Service\SyncServicesBasics.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\system32\wscntfy.exe
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-11-14 22:13:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-11-14 21:13
Vor Suchlauf: 1.573.609.472 Bytes frei
Nach Suchlauf: 1.453.981.696 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
- - End Of File - - 12BF3BA6BE850B1F089ACA41F98A9DD2
--- --- ---
Ich würde an dieser stelle auch gerne nochmal kurz den Zustand beschreiben der aktuell noch vorliegt - der Guard von Antivir meldet ca alle 3min mind 4 Viren:
Dabei handelt es sich immer um:
Copy of Shortcut to (1 bis 4).Ink Fund: EXP/CVE-2010-2568.A
Die habe ich jetzt auch schon 20zig mal in Quarantäne geschoben und dann gelöscht.
Wenn ich darauf nicht mit entfernen reagiere, sondern garnichts mache... afk sozusagen und wiederkomme hat sich die anzahl der viren schnell mehr als verhundertfacht. Hunderte ".exe" mit sinnlosen zeichen sind in der Zeit von Trojanern (meist TR/Crypt.XPACK.Gen) scheinbar erstellt worden.
Ich hoffe diese Infos helfen uns noch weiter! |
