Home » Viren, Trojaner & Malware Forum » Torpig, Ja Oder Nein? » Themenansicht

Torpig, Ja Oder Nein?
#0
21.03.2007, 00:28
ulp
Member

Beiträge: 36
#1 Hallo,

kann mir jemand sagen, ob Trojaner "Torpig" auf meinem Rechner istoder nicht. XoftSpy von Parento sagt ja, aber Spybot, Ad-Aware und Kaspersky sagen nein! Wahr ist, dass der rechner sehr langsam ist. Ging schon mal alles schneller!
Habe schon die Liste abgearbeitet:
1. Logfile of HijackThis v1.99.1
Scan saved at 23:49:29, on 20.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\NetDrive\wdService.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\NetDrive\netdrive.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Brother\Brmfcmon\brmfcwnd.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\Dokumente und Einstellungen\ulpcom\Desktop\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programme\Visagesoft\eXPert PDF\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [WebDriveTray] C:\Programme\NetDrive\netdrive.exe /trayicon
O4 - HKLM\..\Run: [KASP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\OESpamTest.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Ad-Watch System Protector] C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167903284195
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Programme\NetDrive\wdService.exe
---------------------------------
2. Cleanup erledigt
3. Combofix:"ulpcom" - 07-03-21 0:06:13 Service Pack 2
ComboFix 07-03-20.2 - Running from: "C:\Dokumente und Einstellungen\ulpcom\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2007-02-21 to 2007-03-21 ))))))))))))))))))))))))))))))))))


2007-03-20 19:42 50 --a------ C:\WINDOWS\system32\bridf05a.dat
2007-03-20 19:41 81,920 --------- C:\WINDOWS\system32\BrWebIns.dll
2007-03-20 19:41 65,536 --------- C:\WINDOWS\system32\BRWEBUP.EXE
2007-03-20 19:41 55,296 --------- C:\WINDOWS\system32\brinsstr.dll
2007-03-20 19:41 188,416 --------- C:\WINDOWS\system32\PDRVINST.DLL
2007-03-20 19:41 147,456 --------- C:\WINDOWS\brunin03.dll
2007-03-20 19:41 122,880 --------- C:\WINDOWS\system32\BrfxD05a.dll
2007-03-20 19:41 0 --a------ C:\WINDOWS\brdfxspd.dat
2007-03-20 19:41 <DIR> d-------- C:\Programme\Common Files
2007-03-20 19:41 <DIR> d-------- C:\Programme\Brother
2007-03-20 19:41 <DIR> d-------- C:\Brother
2007-03-20 19:36 <DIR> d-------- C:\Programme\ScanSoft
2007-03-20 19:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2007-03-20 19:36 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\ScanSoft
2007-03-20 19:36 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield
2007-03-20 19:34 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Brother
2007-03-20 19:26 <DIR> d-------- C:\WINDOWS\pss
2007-03-20 19:06 <DIR> d-------- C:\Datenaustausch
2007-03-16 10:24 1,150,976 --------- C:\WINDOWS\system32\LXtool61VC8.dll
2007-03-16 09:45 122,880 --a------ C:\WINDOWS\system32\dmailer.DLL
2007-03-16 09:45 1,015,296 --a------ C:\WINDOWS\system32\actrpt.dll
2007-03-15 14:45 <DIR> d-------- C:\DOKUME~1\ulpcom\ANWEND~1\U3
2007-03-15 07:56 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-03-15 07:56 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-03-14 23:08 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2007-03-14 23:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2007-03-14 23:07 2,682,880 --------- C:\WINDOWS\UNNeroVision.exe
2007-03-14 23:06 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2007-03-14 23:06 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2007-03-14 23:06 38,912 --------- C:\WINDOWS\system32\picn20.dll
2007-03-14 23:06 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2007-03-14 23:06 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2007-03-14 23:06 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2007-03-14 23:06 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2007-03-14 23:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-03-14 23:06 <DIR> d-------- C:\Programme\Ahead
2007-03-14 23:06 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead
2007-03-12 21:10 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo! Companion
2007-03-11 23:00 <DIR> d-------- C:\DOKUME~1\ulpcom\ANWEND~1\InterVideo
2007-03-11 22:59 204,800 --a------ C:\WINDOWS\system32\IVIresizeW7.dll
2007-03-11 22:59 200,704 --a------ C:\WINDOWS\system32\IVIresizeA6.dll
2007-03-11 22:59 20,480 --a------ C:\WINDOWS\system32\IVIresize.dll
2007-03-11 22:59 192,512 --a------ C:\WINDOWS\system32\IVIresizeP6.dll
2007-03-11 22:59 192,512 --a------ C:\WINDOWS\system32\IVIresizeM6.dll
2007-03-11 22:59 188,416 --a------ C:\WINDOWS\system32\IVIresizePX.dll
2007-03-11 22:59 <DIR> d-------- C:\Programme\InterVideo
2007-03-07 00:12 <DIR> d-------- C:\DOKUME~1\ulpcom\ANWEND~1\LogoMaker
2007-02-22 01:11 <DIR> d-------- C:\Programme\Real
2007-02-22 01:11 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2007-02-22 01:11 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2007-02-22 01:10 <DIR> d-------- C:\DOKUME~1\ulpcom\ANWEND~1\Real


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-20 22:10 -------- d-------- C:\Programme\Gemeinsame Dateien\bdelster
2007-03-20 22:09 -------- d-------- C:\Programme\Gemeinsame Dateien\buhl data service
2007-03-20 20:34 -------- d-------- C:\Programme\xoftspyse
2007-03-20 19:58 -------- d-------- C:\Programme\tuneup utilities 2007
2007-03-20 19:42 50 --a------ C:\WINDOWS\system32\bridf05a.dat
2007-03-20 19:41 -------- d--h----- C:\Programme\installshield installation information
2007-03-20 19:41 -------- d-------- C:\Programme\Gemeinsame Dateien\installshield
2007-03-20 19:41 -------- d-------- C:\Programme\common files
2007-03-20 19:41 -------- d-------- C:\Programme\brother
2007-03-20 19:36 -------- d-------- C:\Programme\scansoft
2007-03-20 19:36 -------- d-------- C:\Programme\Gemeinsame Dateien\scansoft shared
2007-03-20 19:17 -------- d-------- C:\DOKUME~1\ulpcom\ANWEND~1\vmware
2007-03-20 10:33 -------- d-------- C:\Programme\Gemeinsame Dateien\kaspersky lab
2007-03-20 10:25 -------- d-------- C:\Programme\kaspersky lab
2007-03-17 08:02 -------- d-------- C:\DOKUME~1\ulpcom\ANWEND~1\gtk-2.0
2007-03-16 22:00 -------- d-------- C:\Programme\lexware
2007-03-16 21:31 -------- d-------- C:\Programme\Gemeinsame Dateien\lexware
2007-03-16 09:45 -------- d-------- C:\Programme\Gemeinsame Dateien\dao
2007-03-16 09:00 -------- d-------- C:\Programme\irfanview
2007-03-15 16:56 -------- d-------- C:\DOKUME~1\ulpcom\ANWEND~1\u3
2007-03-14 23:08 -------- d-------- C:\Programme\Gemeinsame Dateien\nero
2007-03-12 21:07 64 --a------ C:\DOKUME~1\ulpcom\ANWEND~1\dm.ini
2007-03-12 21:07 1457 --a------ C:\DOKUME~1\ulpcom\ANWEND~1\adobedlm.log
2007-03-11 23:00 -------- d-------- C:\DOKUME~1\ulpcom\ANWEND~1\intervideo
2007-03-11 22:59 -------- d-------- C:\Programme\intervideo
2007-03-11 13:35 -------- d-------- C:\Programme\yahoo!
2007-03-07 00:40 -------- d-------- C:\DOKUME~1\ulpcom\ANWEND~1\logomaker
2007-02-26 18:32 -------- d-------- C:\Programme\java
2007-02-22 01:12 4330 --a------ C:\WINDOWS\mozver.dat
2007-02-22 01:12 -------- d-------- C:\DOKUME~1\ulpcom\ANWEND~1\real
2007-02-22 01:11 -------- d-------- C:\Programme\real
2007-02-22 01:11 -------- d-------- C:\Programme\Gemeinsame Dateien\xing shared
2007-02-22 01:11 -------- d-------- C:\Programme\Gemeinsame Dateien\real
2007-02-20 11:06 78136 --a------ C:\WINDOWS\system32\perfc007.dat
2007-02-20 11:06 423150 --a------ C:\WINDOWS\system32\perfh007.dat
2007-02-17 19:27 -------- d-------- C:\Programme\microsoft plus!
2007-02-17 16:04 -------- d-------- C:\Programme\openvpn
2007-02-17 16:01 -------- d-------- C:\Programme\openvpn_neu
2007-02-17 14:04 -------- d-------- C:\DOKUME~1\ulpcom\ANWEND~1\media player classic
2007-02-17 09:34 -------- d-------- C:\Programme\microsoft baseline security analyzer 2
2007-02-17 07:23 -------- d-------- C:\Programme\windows media connect 2
2007-02-14 11:10 -------- d-------- C:\Programme\gs
2007-02-14 11:10 -------- d-------- C:\Programme\freepdf_xp
2007-02-12 21:42 -------- d-------- C:\Programme\t-online edition - die geldplaner version 2007
2007-02-11 04:19 -------- d-------- C:\Programme\east-tec eraser 2007
2007-02-10 20:21 -------- d-------- C:\Programme\poi-warner poi-daten
2007-02-10 01:02 -------- d-------- C:\Programme\mozilla thunderbird
2007-02-05 17:03 -------- d-------- C:\Programme\tomtom home
2007-02-05 12:49 372736 --a------ C:\WINDOWS\suinsta4001.exe
2007-02-05 12:49 -------- d-------- C:\Programme\poi-warner tt5 und tt6 edition
2007-02-04 17:30 -------- d-------- C:\Programme\microsoft activesync
2007-02-03 17:11 2508 --a------ C:\DOKUME~1\ulpcom\ANWEND~1\$_hpcst$.hpc
2007-02-03 16:48 -------- d-------- C:\DOKUME~1\ulpcom\ANWEND~1\installshield
2007-01-31 13:27 -------- d-------- C:\Programme\visagesoft
2007-01-27 17:16 76800 --a------ C:\WINDOWS\system32\drivers\SSHDRV84.sys
2007-01-25 11:52 73728 --a------ C:\WINDOWS\alcfdrtm.exe
2007-01-25 08:14 -------- d-------- C:\Programme\interwise
2007-01-23 12:07 -------- d-------- C:\DOKUME~1\ulpcom\ANWEND~1\bdedit
2007-01-08 19:01 17408 --a------ C:\WINDOWS\system32\corpol.dll
2007-01-04 11:58 0 --a------ C:\WINDOWS\nsreg.dat
2007-01-04 09:18 0 -rahs---- C:\MSDOS.SYS
2007-01-04 09:18 0 -rahs---- C:\IO.SYS
2007-01-04 09:18 0 --a------ C:\CONFIG.SYS
2007-01-04 09:18 0 --a------ C:\AUTOEXEC.BAT
2007-01-04 09:15 21740 --a------ C:\WINDOWS\system32\emptyregdb.dat
2007-01-04 09:01 62 --ahs---- C:\DOKUME~1\ulpcom\ANWEND~1\desktop.ini


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Ad-Watch System Protector"="C:\\Programme\\Lavasoft\\Ad-Aware SE Professional\\Ad-Watch.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SoundMan"="SOUNDMAN.EXE"
"AlcWzrd"="ALCWZRD.EXE"
"Alcmtr"="ALCMTR.EXE"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"vspdfprsrv.exe"="C:\\Programme\\Visagesoft\\eXPert PDF\\vspdfprsrv.exe --background"
"KAVPersonal50"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Security Suite\\Kaspersky Anti-Virus Personal\\kav.exe\" /minimize"
"OESpamTest"="C:\\PROGRA~1\\KASPER~1\\KASPER~1\\KASPER~3\\OESpamTest.ExE"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"WebDriveTray"="C:\\Programme\\NetDrive\\netdrive.exe /trayicon"
"KASP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Security Suite\\Kaspersky Anti-Spam Personal\\OESpamTest.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WINSWEEP Popupblocker"="C:\\Programme\\WinSweep\\WSPopup.Exe"
"WINSWEEP"="C:\\Programme\\WinSweep\\WINSWEEP.Exe /AUTO"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SMSERIAL"="sm56hlpr.exe"
"WebDriveTray"="C:\\Programme\\NetDrive\\netdrive.exe /trayicon"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Push-Client.LNK]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Push-Client.LNK"
"backup"="C:\\WINDOWS\\pss\\Push-Client.LNKCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\INTERW~1\\PARTIC~1\\pull.exe "
"item"="Push-Client"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WebDriveTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="netdrive"
"hkey"="HKLM"
"command"="C:\\Programme\\NetDrive\\netdrive.exe /trayicon"
"inimapping"="0"


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSaveSettings"=hex:00,00,00,00
"ClearRecentDocsOnExit"=hex:00,00,00,00
"NoActiveDesktop"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0

hklm\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
UxTuneUp


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G]
Shell\AutoRun\command G:\LaunchU3.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{afbebb08-d2c2-11db-b9ec-005056c00008}]
Shell\AutoRun\command G:\LaunchU3.exe


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\XoftSpySE.job


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-03-21 0:07:40
C:\ComboFix2.txt ... 07-03-21 00:04
4. Datfind:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 84D3-F169

Verzeichnis von C:\WINDOWS\system32

20.03.2007 23:57 2.206 wpa.dbl
20.03.2007 19:42 50 bridf05a.dat
16.03.2007 09:45 1.413 mapisvc.inf
15.03.2007 08:03 30 brss01a.ini
15.03.2007 08:03 184 brsvc01a.bsi
07.03.2007 21:36 12.619.736 MRT.exe
26.02.2007 18:32 9.857 jupdate-1.5.0_11-b03.log
22.02.2007 01:11 181.736 rmoc3260.dll
22.02.2007 01:11 5.632 pndx5032.dll
22.02.2007 01:11 6.656 pndx5016.dll
22.02.2007 01:11 278.528 pncrt.dll
20.02.2007 11:06 423.150 perfh007.dat
20.02.2007 11:06 65.182 perfc009.dat
20.02.2007 11:06 407.628 perfh009.dat
20.02.2007 11:06 78.136 perfc007.dat
20.02.2007 11:06 979.818 PerfStringBackup.INI
17.02.2007 18:29 16.832 amcompat.tlb
17.02.2007 18:29 23.392 nscompat.tlb
17.02.2007 06:08 122.142 TZLog.log
15.02.2007 18:01 337.280 WgaTray.exe
15.02.2007 18:01 1.476.992 LegitCheckControl.dll
15.02.2007 18:00 236.928 WgaLogon.dll
29.01.2007 09:58 60.416 tzchange.exe
25.01.2007 11:52 146.650 BuzzingBee.wav
25.01.2007 11:52 940.794 LoopyMusic.wav
23.01.2007 20:30 546.304 hhctrl.ocx
13.01.2007 15:38 9.132 jupdate-1.5.0_10-b03.log
12.01.2007 09:27 3.580.416 mshtml.dll
12.01.2007 09:27 670.720 mstime.dll
12.01.2007 09:27 6.054.400 ieframe.dll
12.01.2007 09:27 458.752 msfeeds.dll
12.01.2007 09:27 132.608 extmgr.dll
12.01.2007 09:27 232.960 webcheck.dll
12.01.2007 09:27 27.136 jsproxy.dll
12.01.2007 09:27 1.149.952 urlmon.dll
12.01.2007 09:27 477.696 mshtmled.dll
12.01.2007 09:27 822.784 wininet.dll
12.01.2007 09:27 51.712 msfeedsbs.dll
10.01.2007 17:42 1.040.384 ieframe.dll.mui
08.01.2007 19:04 105.984 url.dll
08.01.2007 19:04 102.400 occache.dll
08.01.2007 19:03 193.024 msrating.dll
08.01.2007 19:02 1.823.744 inetcpl.cpl
08.01.2007 19:02 44.544 iernonce.dll
08.01.2007 19:02 266.752 iertutil.dll
08.01.2007 19:02 384.000 iedkcs32.dll
08.01.2007 19:02 153.088 ieakeng.dll
08.01.2007 19:02 230.400 ieaksie.dll
08.01.2007 19:02 161.792 ieakui.dll
08.01.2007 19:02 383.488 ieapfltr.dll
08.01.2007 19:01 17.408 corpol.dll
08.01.2007 19:00 124.928 advpack.dll
08.01.2007 18:08 56.832 ie4uinit.exe
08.01.2007 18:08 13.824 ieudinit.exe
07.01.2007 15:03 247.104 FNTCACHE.DAT
04.01.2007 12:20 7.006 jupdate-1.5.0_06-b05.log
04.01.2007 09:24 237 $winnt$.inf
04.01.2007 09:18 2.951 CONFIG.NT
04.01.2007 09:17 488 WindowsLogon.manifest
04.01.2007 09:17 488 logonui.exe.manifest
04.01.2007 09:17 749 nwc.cpl.manifest
04.01.2007 09:17 749 sapi.cpl.manifest
04.01.2007 09:17 749 wuaucpl.cpl.manifest
04.01.2007 09:17 749 ncpa.cpl.manifest
04.01.2007 09:17 749 cdplayer.exe.manifest
04.01.2007 09:15 21.740 emptyregdb.dat
04.01.2007 09:12 0 h323log.txt
19.12.2006 22:49 135.168 shsvcs.dll
19.12.2006 22:49 8.494.592 shell32.dll
19.12.2006 21:36 1.150.976 LXtool61VC8.dll
19.12.2006 19:21 2.059.904 ntkrnlpa.exe
19.12.2006 19:21 2.182.656 ntoskrnl.exe
19.12.2006 19:17 334.336 wiaservc.dll
------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 84D3-F169

Verzeichnis von C:\DOKUME~1\ulpcom\LOKALE~1\Temp

20.03.2007 23:58 1.761 BCG3F1.tmp
1 Datei(en) 1.761 Bytes
0 Verzeichnis(se), 43.755.061.248 Bytes frei
------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 84D3-F169

Verzeichnis von C:\WINDOWS

20.03.2007 23:34 66.411 cm32L8EX.log
20.03.2007 22:10 403 tm.ini
20.03.2007 20:37 0 0.log
20.03.2007 20:37 1.178.202 WindowsUpdate.log
20.03.2007 20:37 159 wiadebug.log
20.03.2007 20:37 50 wiaservc.log
20.03.2007 20:37 2.048 bootstat.dat
20.03.2007 20:34 32.642 SchedLgU.Txt
20.03.2007 19:42 12.461 setupapi.log
20.03.2007 19:42 27 BRPP2KA.INI
20.03.2007 19:42 478 BRWMARK.INI
20.03.2007 19:42 205 Brpfx04a.ini
20.03.2007 19:42 92 brpcfx.ini
20.03.2007 19:27 603 win.ini
20.03.2007 19:27 227 system.ini
16.03.2007 21:31 31 LxTrans.INI
16.03.2007 09:38 4.359 ODBCINST.INI
15.03.2007 07:59 0 Sti_Trace.log
06.03.2007 19:29 73.728 ALCFDRTM.VER
22.02.2007 01:12 4.330 mozver.dat
17.02.2007 16:37 8.392 ModemLog_Motorola SM56 Data Fax Modem.txt
05.02.2007 12:49 372.736 suinsta4001.exe
25.01.2007 11:52 73.728 ALCFDRTM.EXE
23.01.2007 12:41 35 tdf.dii
08.01.2007 08:21 0 dateiliste.lis
08.01.2007 08:21 1.141 lernkartei.ini
04.01.2007 16:06 400 ODBC.INI
04.01.2007 11:58 0 nsreg.dat
04.01.2007 09:25 8.192 REGLOCS.OLD
04.01.2007 09:18 0 control.ini
04.01.2007 09:18 316.640 WMSysPr9.prx
04.01.2007 09:17 749 WindowsShell.Manifest
04.01.2007 09:15 37 vbaddin.ini
04.01.2007 09:15 36 vb.ini
27.10.2006 11:20 16.379 LxFrame.ini

------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 84D3-F169

Verzeichnis von C:\WINDOWS\Temp

20.03.2007 20:37 85 vmware-vmount.log
20.03.2007 20:37 16.384 Perflib_Perfdata_7f8.dat
2 Datei(en) 16.469 Bytes
0 Verzeichnis(se), 43.755.036.672 Bytes frei
---------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 84D3-F169

Verzeichnis von C:\WINDOWS\Downloaded Program Files

04.01.2007 09:17 65 desktop.ini
09.11.2006 14:36 5.019 swflash.inf
26.05.2005 04:19 291 wuweb.inf
16.10.2003 13:55 299.008 isusweb.dll
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
6 Datei(en) 525.567 Bytes
0 Verzeichnis(se), 43.755.028.480 Bytes frei
------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 84D3-F169

Verzeichnis von C:\

21.03.2007 00:15 0 sys.txt
21.03.2007 00:15 541 down.txt
21.03.2007 00:15 344 tmp.txt
21.03.2007 00:14 4.903 system.txt
21.03.2007 00:13 292 systemtemp.txt
21.03.2007 00:10 103.732 system32.txt
21.03.2007 00:07 13.924 ComboFix.txt
21.03.2007 00:04 14.069 ComboFix2.txt
20.03.2007 20:37 1.610.612.736 pagefile.sys
20.03.2007 19:27 211 boot.ini
04.01.2007 09:55 1.416 FSC-DeskUpdate.txt
04.01.2007 09:18 0 CONFIG.SYS
04.01.2007 09:18 0 IO.SYS
04.01.2007 09:18 0 AUTOEXEC.BAT
04.01.2007 09:18 0 MSDOS.SYS
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 251.184 ntldr
05.01.2002 03:40 487.424 msvcp70.dll
05.01.2002 03:37 344.064 msvcr70.dll
20 Datei(en) 1.611.887.356 Bytes
0 Verzeichnis(se), 43.755.024.384 Bytes frei
Seitenanfang Seitenende
21.03.2007, 12:09
raman
Moderator

Beiträge: 7805
#2 Wo wird denn dieser Virus vermutet?
BTW: Warum hast du VMware installiert?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.03.2007, 12:33
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#3 Hallo,

finde keinen spezifischen Eintrag von "Torpig",
trotzdem hiermit mal scannen:

Zitat

http://support.f-secure.de/ger/home/ols.shtml
Torpig:

Zitat


Troj/Torpig-BH ist ein Trojaner für die Windows-Plattform.

Der Trojaner enthält Funktionalität zum:

- Kommunizieren mit einem remoten Server über HTTP und E-Mail
- Stehlen von Informationen

Sobald er ausgeführt wird, erstellt der Trojaner die folgenden Dateien:

<Gemeinsame Dateien>\Microsoft Shared\Web Folders\ibm00001.dll (erkannt als Troj/Torpig-BH)
<Gemeinsame Dateien>\Microsoft Shared\Web Folders\ibm00001.exe (erkannt als Troj/Torpig-BH)
<Gemeinsame Dateien>\Microsoft Shared\Web Folders\ibm00002.dll (erkannt als Troj/Torpig-BH)
<Gemeinsame Dateien>\Microsoft Shared\Web Folders\ibm00003.exe (erkannt als Troj/Torpig-BH)

Der folgende Registrierungseintrag wird erstellt, damit ibm00001.exe beim Start ausgeführt wird:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
shell
<Gemeinsame Dateien>\Microsoft Shared\Web Folders\ibm00001.exe


Poste den Report....

Gruß,
Chris

Zitat
Seitenanfang Seitenende
21.03.2007, 12:42
raman
Moderator

Beiträge: 7805
#4 Die Dateien haette Combofix geloescht.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.03.2007, 14:27
ulp
Member

Themenstarter

Beiträge: 36
#5 Hallo,
Danke schon mal.
Zu Torpig wird folgendes Objekt angegeben:
software\microsoft\windows\currentversion\policies\explorer\noactivedesktop

Kann mit f-secure nicht scannen, weil IE meldet, "Insufficient rights to use ActiveX controls" wie stellt man das ein?

Gruß ulp
Seitenanfang Seitenende
21.03.2007, 14:56
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#6 Hmm,

ActiveX ging aber vorher?

Frage: Kannst Du Dich erinnern ob die genannten Dateien ibm*.* auf Deinem Rechner waren? Das verhalten mit dem nicht funktionierenden ActiveX deutet darauf hin.
IExplorer6 oder 7?
Einstellungen über "Extras", "Sicherheit", "Internet", "Stufe anpassen" -> dort findest Du (zumindest beim IE6 die ActiveX-Einstellungen)...

Gruß,
Chris
Seitenanfang Seitenende
21.03.2007, 15:35
ulp
Member

Themenstarter

Beiträge: 36
#7 Hallo,

habe die kleinste Sicherheitsstufe gewählt, geht dennoch nicht. Geht nicht mit IE, die Seite geht auf und gleich wieder zu. "ActiveX ging aber vorher?" Keine Ahnung! MIt Firefox kam noch nie so'ne Meldung. Welche Version der IE ist, weiß ich nicht. Wo kann man das aufrufen. Ich benutze nie IE weil unübersichtlich etc. Jedes anständige Programm hat ganz rechts in der Menüleiste nen ? und Versionsinfo! Aber IE..... :°( Gibts nicht ein online-Scanner der mit Firefox läuft!?
Dateien ibm*.*...ist mir nicht aufgefallen!

Gruß ulp
Seitenanfang Seitenende
21.03.2007, 16:24
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#8 Hallo,

Zitat

Download und auf dem Desktop entzippen: http://www.fbeej.dk/Programmer/iereg.zip
Klicke: iereg bat
PC neustarten und pruefen, ob der IE korrekt funktioniert
http://virus-protect.org/ie.html
Gruß,
Chris

Falls es dann immer noch nicht funktioniert:

Zitat

Counterspy
scanne und poste den scanreport (stelle vorher alles auf "remove"
http://virus-protect.org/counterspy.html
Chris
Seitenanfang Seitenende
21.03.2007, 16:29
raman
Moderator

Beiträge: 7805
#9 Wenn es nur ums Scannen geht, kannst du Drweb Cureit nutzen: http://freedrweb.com/?lng=de

BZW Ewido Micro: http://downloads.ewido.net/ewido_micro.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.03.2007, 21:38
ulp
Member

Themenstarter

Beiträge: 36
#10 Hallo,

nee, der IE will einfacch nicht. Habe mit counterspy gescannt, aber außer 3 gewünschter cookies nichts. Vielleicht ein Fehlalarm!?
Trotdem Danke!
Gruß ulp
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1