Home » Viren, Trojaner & Malware Forum » Obfuscated, das Biest hat mich auch erwischt » Themenansicht

Obfuscated, das Biest hat mich auch erwischt
#0
25.01.2007, 23:41
KlausK
...neu hier

Beiträge: 2
#1 also, hab hier schon nbisschen rumgelesen, aber er ist wieder da, hier die logs

Logfile of HijackThis v1.99.1
Scan saved at 23:31:54, on 25.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\BitTorrent\bittorrent.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
e:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
e:\Programme\Cisco Systems\VPN Client\vpngui.exe
e:\Programme\Cisco Systems\VPN Client\ipseclog.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Programme\Miranda IM\miranda32.exe
E:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\explorer.exe
E:\Programme\hijackthis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "E:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Registration Brothers In Arms.LNK = D:\Support\Register\RegistrationReminder.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = E:\Programme\Cisco Systems\VPN Client\vpngui.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {1ED48504-8834-11D5-AC75-0008C73FD642} - file://E:\Programme\ProENGINEER Student Edition\i486_nt\obj\pvx_install.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1CFFAD9-7C30-4367-8D36-160B767F261D}: NameServer = 141.51.212.6,141.51.212.7
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = student.uni-kassel.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = student.uni-kassel.de
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - e:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



"Klaus" - 07-01-25 23:40:18 Service Pack 2
ComboFix 07-01-25 - Running from: "F:\"

((((((((((((((((((((((((((((((( Files Created from 2006-12-25 to 2007-01-25 ))))))))))))))))))))))))))))))))))


2007-01-25 22:47 580,352 --------- C:\WINDOWS\system32\XPSSHHDR.dll
2007-01-25 22:47 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2007-01-25 22:47 124,416 --------- C:\WINDOWS\system32\prntvpt.dll
2007-01-25 22:47 1,698,048 --------- C:\WINDOWS\system32\XpsSvcs.dll
2007-01-25 22:46 <DIR> d-------- C:\WINDOWS\LastGood
2007-01-25 22:05 <DIR> d-------- C:\WINDOWS\system32\SoftwareDistribution
2007-01-25 21:59 <DIR> d-------- C:\WINDOWS\pss
2007-01-25 21:44 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Spybot - Search & Destroy
2007-01-25 21:26 <DIR> d-------- C:\Avenger
2007-01-25 16:33 <DIR> d-------- C:\Programme\PartyGaming
2007-01-25 16:32 21 --a------ C:\RAP.BAT
2007-01-25 16:28 282,624 --a------ C:\WINDOWS\uninst.exe
2007-01-25 15:56 <DIR> d-------- C:\Programme\IDOL ITCH
2007-01-25 15:56 <DIR> d-------- C:\My Downloads
2007-01-25 15:56 <DIR> d-------- C:\DOKUME~1\Klaus\Anwendungsdaten\IDOL ITCH
2007-01-25 15:56 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\FiveDaleBoreBird
2007-01-22 23:20 <DIR> d-------- C:\WINDOWS\wb
2007-01-22 01:55 <DIR> d-------- C:\DOKUME~1\Klaus\Anwendungsdaten\BitTorrent
2007-01-19 00:59 3,550,285 --a------ C:\WINDOWS\system32\angel-simulator-saver.scr
2007-01-19 00:21 <DIR> d-------- C:\Spiele
2007-01-18 12:38 <DIR> d---s---- C:\DOKUME~1\Klaus\UserData
2007-01-16 15:56 <DIR> d-------- C:\DOKUME~1\Klaus\Anwendungsdaten\Gearbox Software
2007-01-07 16:53 <DIR> d-------- C:\DOKUME~1\Klaus\Anwendungsdaten\vlc
2007-01-03 15:29 765,952 --a------ C:\WINDOWS\system32\msvcp71d.dll
2007-01-03 15:29 544,768 --a------ C:\WINDOWS\system32\msvcr71d.dll
2007-01-03 15:29 2,179,072 --a------ C:\WINDOWS\system32\mfc71d.dll
2007-01-03 15:29 149,504 --a------ C:\WINDOWS\system32\UNWISE.EXE
2007-01-03 15:28 <DIR> d-------- C:\Programme\vtplus
2007-01-03 15:28 <DIR> d-------- C:\Programme\Gemeinsame Dateien\IviSDK
2007-01-03 15:27 90,190 --a------ C:\WINDOWS\system32\Bt848WST.DLL
2007-01-03 15:27 69,632 --a------ C:\WINDOWS\system32\3DES.dll
2007-01-03 15:27 65,536 --a------ C:\WINDOWS\system32\dmcrypto.dll
2007-01-03 15:27 28,672 --a------ C:\WINDOWS\system32\hcwsched.dll
2007-01-03 15:27 159,744 --a------ C:\WINDOWS\system32\hcwChDB.dll
2007-01-03 15:26 696,393 --a------ C:\WINDOWS\system32\hcwtvwnd.dll
2007-01-03 15:26 393,216 --a------ C:\WINDOWS\system32\hcwsnbd9.dll
2007-01-03 15:26 213,050 --a------ C:\WINDOWS\system32\hcwChan.dll
2007-01-03 15:26 11,264 --a------ C:\WINDOWS\system32\hcwhook.dll
2007-01-03 15:26 106,559 --a------ C:\WINDOWS\system32\hcwTVDlg.dll
2007-01-03 15:26 <DIR> d-------- C:\WINDOWS\system32\hauppauge
2007-01-03 15:26 <DIR> d-------- C:\Programme\WinTV
2007-01-03 15:26 <DIR> d-------- C:\MyVideos
2007-01-03 15:24 5,504 --a------ C:\WINDOWS\system32\drivers\MSTEE.sys
2007-01-03 15:24 15,360 --a------ C:\WINDOWS\system32\drivers\MPE.sys
2007-01-03 15:23 85,376 --a------ C:\WINDOWS\system32\drivers\NABTSFEC.sys
2007-01-03 15:23 54,272 --a------ C:\WINDOWS\system32\drivers\vfwwdm32.dll
2007-01-03 15:23 207,424 -ra------ C:\WINDOWS\system32\drivers\hcw88bda.sys
2007-01-03 15:23 19,328 --a------ C:\WINDOWS\system32\drivers\WSTCODEC.SYS
2007-01-03 15:23 17,024 --a------ C:\WINDOWS\system32\drivers\CCDECODE.sys
2007-01-03 15:23 15,360 --a------ C:\WINDOWS\system32\drivers\StreamIP.sys
2007-01-03 15:23 11,776 --a------ C:\WINDOWS\system32\drivers\BdaSup.sys
2007-01-03 15:23 11,136 --a------ C:\WINDOWS\system32\drivers\SLIP.sys
2007-01-03 15:23 10,880 --a------ C:\WINDOWS\system32\drivers\NdisIP.sys
2007-01-03 15:22 299,843 -ra------ C:\WINDOWS\system32\drivers\hcw88tse.sys
2007-01-03 15:22 11,970 -ra------ C:\WINDOWS\system32\drivers\hcw88aud.sys
2007-01-03 15:21 98,360 --a------ C:\WINDOWS\system32\hcwi2c32.dll
2007-01-03 15:21 9,539 -ra------ C:\WINDOWS\system32\drivers\hcw88r9x.sys
2007-01-03 15:21 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2007-01-03 15:21 497,216 -ra------ C:\WINDOWS\system32\drivers\hcw88vid.sys
2007-01-03 15:21 40,960 -ra------ C:\WINDOWS\system32\hcwxds.dll
2007-01-03 15:21 36,921 --a------ C:\WINDOWS\system32\hcwutl32.dll
2007-01-03 15:21 245,816 --a------ C:\WINDOWS\system32\hcwpnp32.dll
2007-01-03 15:21 23,104 -ra------ C:\WINDOWS\system32\drivers\hcw88bar.sys
2007-01-03 15:21 148,545 -ra------ C:\WINDOWS\system32\drivers\hcw88tun.sys
2007-01-03 15:21 11,841 -ra------ C:\WINDOWS\system32\drivers\hcw88rc5.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-25 16:26 -------- d-------- C:\DOKUME~1\Klaus\Anwendungsdaten\openoffice.org2
2007-01-22 01:54 -------- d-------- C:\Programme\plugins
2007-01-21 18:38 -------- d-------- C:\Programme\antivir personaledition classic
2007-01-12 11:49 -------- d-------- C:\Programme\components
2007-01-03 15:28 -------- d--h----- C:\Programme\installshield installation information
2006-12-25 12:51 36864 --a------ C:\WINDOWS\system32\drivers\hidclass.sys
2006-12-11 18:05 163644 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-12-05 20:20 -------- d-------- C:\DOKUME~1\Klaus\Anwendungsdaten\ptc
2006-12-04 16:21 73216 --a------ C:\WINDOWS\cadkasdeinst01.exe
2006-11-15 09:17 22752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2006-11-09 10:35 954 --a------ C:\Programme\updates.xml
2006-11-09 10:35 8322 --a------ C:\Programme\accessiblemarshal.dll
2006-11-09 10:35 7786 --a------ C:\Programme\xpcom.dll
2006-11-09 10:35 7191149 --a------ C:\Programme\firefox.exe
2006-11-09 10:35 68213 --a------ C:\Programme\xpcom_compat.dll
2006-11-09 10:35 6768 --a------ C:\Programme\xpistub.dll
2006-11-09 10:35 63606 --a------ C:\Programme\xpicleanup.exe
2006-11-09 10:35 57 --a------ C:\Programme\active-update.xml
2006-11-09 10:35 476 --a------ C:\Programme\softokn3.chk
2006-11-09 10:35 419431 --a------ C:\Programme\js3250.dll
2006-11-09 10:35 399984 --a------ C:\Programme\xpcom_core.dll
2006-11-09 10:35 364654 --a------ C:\Programme\softokn3.dll
2006-11-09 10:35 364646 --a------ C:\Programme\nss3.dll
2006-11-09 10:35 28787 --a------ C:\Programme\plc4.dll
2006-11-09 10:35 24686 --a------ C:\Programme\plds4.dll
2006-11-09 10:35 237677 --a------ C:\Programme\nssckbi.dll
2006-11-09 10:35 1694 --a------ C:\Programme\removed-files
2006-11-09 10:35 155758 --a------ C:\Programme\nspr4.dll
2006-11-09 10:35 123524 --a------ C:\Programme\updater.exe
2006-11-09 10:35 110694 --a------ C:\Programme\ssl3.dll
2006-11-09 10:35 106602 --a------ C:\Programme\smime3.dll
2006-11-06 21:28 61952 --a------ C:\WINDOWS\st4unst.exe
2006-11-06 21:28 39424 --a------ C:\WINDOWS\system32\cctlfr32.dll
2006-11-06 21:28 35136 --a------ C:\WINDOWS\system32\vb4fr32.dll
2006-10-12 13:39 0 --a------ C:\Programme\.autoreg


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"BitTorrent"="\"E:\\Programme\\BitTorrent\\bittorrent.exe\" --force_start_minimized"
"SpybotSD TeaTimer"="e:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoCDBurning"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoCDBurning"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoCDBurning"=dword:00000001

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b3875e40-6031-11db-aca5-00138fb8517e}]
Shell\AutoRun\command H:\Autorun.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d57f3391-3de5-11db-a3c6-806d6172696f}]
Shell\AutoRun\command D:\setup.exe


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AEA25930914DD5A4.job

Completion time: 07-01-25 23:41:19
C:\ComboFix2.txt ... 07-01-25 21:30


Danke für die Hilfe
Seitenanfang Seitenende
26.01.2007, 01:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\tasks\AEA25930914DD5A4.job

Folders to delete:
C:\Programme\IDOL ITCH
C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\IDOL ITCH
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FiveDaleBoreBird
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.01.2007, 02:02
KlausK
...neu hier

Themenstarter

Beiträge: 2
#3 Danke vielmals!
Wie findet ihr die zu löschenden Dateien, wenn ich fragen darf?
Hmmm, scheduled tasks und sonst?
Also nochmal Danke
Seitenanfang Seitenende
26.01.2007, 10:05
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ist leicht auszumachen, wenn man weiss, wie variabel (in den bezeichnungen) der swizzor-trojaner ist

2007-01-25 15:56 <DIR> d-------- C:\Programme\IDOL ITCH
2007-01-25 15:56 <DIR> d-------- C:\My Downloads
2007-01-25 15:56 <DIR> d-------- C:\DOKUME~1\Klaus\Anwendungsdaten\IDOL ITCH
2007-01-25 15:56 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\FiveDaleBoreBird

zur vollstaendigen Bereinigung musst du noch die systemwiederherstellung deaktivieren (dann wieder aktivieren)

Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
http://virus-protect.org/systemwiederherstellung.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1