Home » Viren, Trojaner & Malware Forum » drive clean & hidden data sending "explorer.exe" » Themenansicht

drive clean & hidden data sending "explorer.exe"
#0
26.06.2007, 13:07
Romru
...neu hier

Beiträge: 4
#1 hallo,

wie ich gesehen habe habe ich ein bereits bekanntes problem.

kaspersky meldet sich alle paar minuten mit der meldung "hidden data sending" von der "explorer.exe", nach weile ist der desktop auch komplett leer. also keine verknuepfungen, keine startleiste und etc. mehr zu sehen.
desweiteren kommt auch beim browser oeffnen "drive clean" die geschichte mit dem ich haette engeblich sex seiten besucht...blablabla.

waere super wenn mir jemand helfen koennte, vielen dank im vorraus.

anbei die gewuenschte "vorarbeit" ;).

p.s.: ja ich weiss mein system ist offen wie ein scheunentor... ;)




Logfile of HijackThis v1.99.1
Scan saved at 04:08, on 2007-06-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
D:\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\pblnkdol.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
D:\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\explorer.exe
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunes\iTunesHelper.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Poker\Noble Poker\casino.exe
O9 - Extra 'Tools' menuitem: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Poker\Noble Poker\casino.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAC0FA5C-8EFC-4176-BEC9-704C88471CE9}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: DomainService - - C:\WINDOWS\system32\pblnkdol.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe


-----------------------------------------------------------------------------


ComboFix 07-06-18.2 - F:\eMule\ComboFix.exe
"OLLI" - 2007-06-26 4:01:43 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\retadpu2000352.exe


((((((((((((((((((((((((( Files Created from 2007-05-26 to 2007-06-26 )))))))))))))))))))))))))))))))


2007-06-26 04:01 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-26 01:45 122,944 --a------ C:\WINDOWS\system32\pblnkdol.exe
2007-06-25 17:49 2,106,178 ---hs---- C:\WINDOWS\system32\qstwa.ini2
2007-06-25 13:39 266,336 --a------ C:\WINDOWS\system32\awtsq.dll
2007-06-25 13:39 2,104,232 ---hs---- C:\WINDOWS\system32\qstwa.bak1
2007-06-25 13:34 31,254 --a------ C:\WINDOWS\system32\mljggdb.dll
2007-06-25 13:18 <DIR> d-------- C:\WINDOWS\pss
2007-06-25 13:15 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-06-25 11:43 <DIR> d-------- C:\Poker


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-26 02:02:25 -------- d-----w C:\Programme\Kaspersky Lab
2007-06-25 14:16:53 22,584 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-06-25 14:16:49 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-06-25 11:27:29 -------- d-----w C:\Programme\MSN Messenger
2007-06-25 11:27:25 -------- d-----w C:\Programme\Microsoft IntelliType Pro
2007-05-17 05:37:48 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-17 05:37:48 -------- d-----w C:\Programme\Samsung
2007-04-09 23:07:49 98,304 ----a-w C:\WINDOWS\system32CmdLineExt.dll
2007-04-08 21:52:08 63,040 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-03-26 06:13:52 48,354 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-26 06:13:52 316,924 ----a-w C:\WINDOWS\system32\perfh007.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{57257300-0F5D-4F9B-B7C3-4F5EFB624B74}=C:\WINDOWS\system32\awtsq.dll [2007-06-25 13:39]
{7C24493F-3D23-4258-9426-42C5FC3B8211}=C:\WINDOWS\system32\mljggdb.dll [2007-06-25 13:34]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 12:20 C:\WINDOWS\SOUNDMAN.EXE]
"type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2004-06-03 10:51]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 10:54]
"iTunesHelper"="D:\iTunes\iTunesHelper.exe" [2007-03-14 19:05]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{7C24493F-3D23-4258-9426-42C5FC3B8211}"="C:\WINDOWS\system32\mljggdb.dll" [2007-06-25 13:34]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtsq]
C:\WINDOWS\system32\awtsq.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljggdb]
mljggdb.dll



**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-26 04:03:09
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-26 4:03:43
C:\ComboFix-quarantined-files.txt ... 2007-06-26 04:03

--- E O F ---





-----------------------------------------------------------------



datfind:



Datentr„ger in Laufwerk C: ist Win XP
Volumeseriennummer: 0CF8-B78B

Verzeichnis von C:\WINDOWS\system32

2007-06-26 04:03 2,105,051 qstwa.ini2
2007-06-26 02:10 2,206 wpa.dbl
2007-06-26 01:48 2,104,810 qstwa.ini
2007-06-26 01:45 122,944 pblnkdol.exe
2007-06-26 01:40 2,104,232 qstwa.bak1
2007-06-25 17:49 6,868 qstwa.tmp
2007-06-25 16:16 99,904 PnkBstrB.exe
2007-06-25 13:39 266,336 awtsq.dll
2007-06-25 13:34 31,254 mljggdb.dll
2007-06-25 13:19 0 asfiles.txt
2007-06-25 13:15 2,550 Uninstall.ico
2007-06-25 13:15 1,406 Help.ico
2007-06-25 13:15 30,590 pavas.ico
2007-04-08 23:52 63,040 PnkBstrA.exe
2007-04-02 14:21 428,032 swreg.exe
2007-03-26 08:13 311,740 perfh009.dat
2007-03-26 08:13 48,354 perfc007.dat
2007-03-26 08:13 40,128 perfc009.dat
2007-03-26 08:13 316,924 perfh007.dat
2007-03-26 08:13 723,744 PerfStringBackup.INI


.
.
.
Datentr„ger in Laufwerk C: ist Win XP
Volumeseriennummer: 0CF8-B78B

Verzeichnis von C:\DOKUME~1\OLLI\LOKALE~1\Temp

2007-06-26 04:10 98,938 datfind.txt
2007-06-26 04:06 3,639 log.txt
2 Datei(en) 102,577 Bytes
0 Verzeichnis(se), 16,168,083,456 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Win XP
Volumeseriennummer: 0CF8-B78B

Verzeichnis von C:\WINDOWS

2007-06-26 03:59 174,579 setupact.log
2007-06-26 03:35 275,623 WindowsUpdate.log
2007-06-26 03:29 0 0.log
2007-06-26 03:29 2,048 bootstat.dat
2007-06-26 03:28 25,084 SchedLgU.Txt
2007-06-26 03:28 227 system.ini
2007-06-26 03:28 546 win.ini
2007-06-26 02:40 69 NeroDigital.ini
2007-06-25 13:15 631,601 setupapi.log
2007-06-25 10:46 21,520 wmsetup.log
2007-06-05 05:24 87,552 catchme.exe
2007-05-17 09:32 50 wiaservc.log
2007-05-17 09:32 1,076 wiadebug.log
2007-05-17 07:09 1,409 QTFont.for
2007-05-17 07:09 54,156 QTFont.qfn
2007-04-10 01:33 10 WININIT.INI
2007-04-10 01:07 98,304 system32CmdLineExt.dll
2007-04-10 01:07 32,877 DirectX.log
2007-03-01 03:37 246 game.ini


.
.
.
Datentr„ger in Laufwerk C: ist Win XP
Volumeseriennummer: 0CF8-B78B

Verzeichnis von C:\WINDOWS\temp

2007-06-26 04:07 8,192 cch~1e644b133.htp
2007-06-26 04:07 8,192 cch~1e6449548.htp
2007-06-26 04:07 8,192 cch~1e6449930.htp
2007-06-26 04:07 8,192 cch~1e644b54a.htp
2007-06-26 04:07 8,192 cch~1e64305ab.htp
2007-06-26 04:07 8,192 cch~1e64301d6.htp
6 Datei(en) 49,152 Bytes
0 Verzeichnis(se), 16,168,079,360 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Win XP
Volumeseriennummer: 0CF8-B78B

Verzeichnis von C:\WINDOWS\Downloaded Program Files

2007-02-28 10:06 65 desktop.ini


-----------------------------------------------------------------------
Seitenanfang Seitenende
26.06.2007, 14:44
raman
Moderator

Beiträge: 7805
#2 Etwas hat Combofix ja schon bereinigt.

Ich habe dir untern eine Datei angehaengt, kopiere sie bitte in den Ordner, wo sich auch die Comboofix Datei befindet und ziehe diese Datei auf die Combofix.exe und lasse sie dort "fallen".




Danach bitte neu starten und ein neues Hijackthis und Combofix report erstellen und posten.

Es waere hilfreich, wenn du den ganzen Ordner c:\Qoobox packen und an virus@protecus.de schicken koenntest

Anhang: ComboFix-Do.txt

__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.06.2007, 15:22
Romru
...neu hier

Themenstarter

Beiträge: 4
#3 danke fuer die schnelle antwort und die muehe.

die mail mit dem qoobox ordner ist raus.


gruss,

romru


-------------------------------------------------------------------


Logfile of HijackThis v1.99.1
Scan saved at 15:08, on 2007-06-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
D:\iTunes\iTunesHelper.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\pblnkdol.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunes\iTunesHelper.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Poker\Noble Poker\casino.exe
O9 - Extra 'Tools' menuitem: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Poker\Noble Poker\casino.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: DomainService - - C:\WINDOWS\system32\pblnkdol.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe



-------------------------------------------------------------------------



ComboFix 07-06-18.2 - F:\eMule\ComboFix.exe
"OLLI" - 2007-06-26 4:01:43 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\retadpu2000352.exe


((((((((((((((((((((((((( Files Created from 2007-05-26 to 2007-06-26 )))))))))))))))))))))))))))))))


2007-06-26 04:01 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-26 01:45 122,944 --a------ C:\WINDOWS\system32\pblnkdol.exe
2007-06-25 17:49 2,106,178 ---hs---- C:\WINDOWS\system32\qstwa.ini2
2007-06-25 13:39 266,336 --a------ C:\WINDOWS\system32\awtsq.dll
2007-06-25 13:39 2,104,232 ---hs---- C:\WINDOWS\system32\qstwa.bak1
2007-06-25 13:34 31,254 --a------ C:\WINDOWS\system32\mljggdb.dll
2007-06-25 13:18 <DIR> d-------- C:\WINDOWS\pss
2007-06-25 13:15 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-06-25 11:43 <DIR> d-------- C:\Poker


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-26 02:02:25 -------- d-----w C:\Programme\Kaspersky Lab
2007-06-25 14:16:53 22,584 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-06-25 14:16:49 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-06-25 11:27:29 -------- d-----w C:\Programme\MSN Messenger
2007-06-25 11:27:25 -------- d-----w C:\Programme\Microsoft IntelliType Pro
2007-05-17 05:37:48 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-17 05:37:48 -------- d-----w C:\Programme\Samsung
2007-04-09 23:07:49 98,304 ----a-w C:\WINDOWS\system32CmdLineExt.dll
2007-04-08 21:52:08 63,040 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-03-26 06:13:52 48,354 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-26 06:13:52 316,924 ----a-w C:\WINDOWS\system32\perfh007.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{57257300-0F5D-4F9B-B7C3-4F5EFB624B74}=C:\WINDOWS\system32\awtsq.dll [2007-06-25 13:39]
{7C24493F-3D23-4258-9426-42C5FC3B8211}=C:\WINDOWS\system32\mljggdb.dll [2007-06-25 13:34]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 12:20 C:\WINDOWS\SOUNDMAN.EXE]
"type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2004-06-03 10:51]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 10:54]
"iTunesHelper"="D:\iTunes\iTunesHelper.exe" [2007-03-14 19:05]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{7C24493F-3D23-4258-9426-42C5FC3B8211}"="C:\WINDOWS\system32\mljggdb.dll" [2007-06-25 13:34]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtsq]
C:\WINDOWS\system32\awtsq.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljggdb]
mljggdb.dll



**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-26 04:03:09
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-26 4:03:43
C:\ComboFix-quarantined-files.txt ... 2007-06-26 04:03

--- E O F ---
Seitenanfang Seitenende
26.06.2007, 15:41
raman
Moderator

Beiträge: 7805
#4 Hm, das scheint so mit Combofix nicht zu funktionieren. Da muessen wir Avenger nehmen.

Anleitung findest du hier:
http://virus-protect.org/artikel/tools/avenger.html

Du brauchst dieses Script:

Code

Files to delete: 
C:\WINDOWS\system32\pblnkdol.exe
C:\WINDOWS\system32\qstwa.ini2
C:\WINDOWS\system32\awtsq.dll
C:\WINDOWS\system32\qstwa.bak1
C:\WINDOWS\system32\mljggdb.dll
Dann bitte das Avenger Log posten, sowie neues Combofix und hijackthis log.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.06.2007, 16:38
Romru
...neu hier

Themenstarter

Beiträge: 4
#5 da bin ich wieder ;)


avanger log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cwwgkbnj

*******************

Script file located at: \??\C:\WINDOWS\hwyckcyf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\pblnkdol.exe deleted successfully.
File C:\WINDOWS\system32\qstwa.ini2 deleted successfully.
File C:\WINDOWS\system32\awtsq.dll deleted successfully.
File C:\WINDOWS\system32\qstwa.bak1 deleted successfully.
File C:\WINDOWS\system32\mljggdb.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

------------------------------------------------------------


hijackthis log:


Logfile of HijackThis v1.99.1
Scan saved at 16:33, on 2007-06-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
D:\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {19BDC73F-DBCF-48FF-9A0B-2197E5160939} - C:\WINDOWS\system32\awtsq.dll (file missing)
O2 - BHO: (no name) - {7C24493F-3D23-4258-9426-42C5FC3B8211} - C:\WINDOWS\system32\mljggdb.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunes\iTunesHelper.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Poker\Noble Poker\casino.exe
O9 - Extra 'Tools' menuitem: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Poker\Noble Poker\casino.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: awtsq - C:\WINDOWS\system32\awtsq.dll (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: mljggdb - mljggdb.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\pblnkdol.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe


-------------------------------------------------------------------


combofix log:


ComboFix 07-06-18.2 - F:\eMule\ComboFix.exe
"OLLI" - 2007-06-26 16:31:27 - Service Pack 2 NTFS


((((((((((((((((((((((((( Files Created from 2007-05-26 to 2007-06-26 )))))))))))))))))))))))))))))))


2007-06-26 04:01 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-25 13:18 <DIR> d-------- C:\WINDOWS\pss
2007-06-25 13:15 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-06-25 11:43 <DIR> d-------- C:\Poker


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-26 13:41:47 22,584 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-06-26 13:41:43 99,904 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-06-26 13:02:05 -------- d-----w C:\Programme\Kaspersky Lab
2007-06-25 11:27:29 -------- d-----w C:\Programme\MSN Messenger
2007-06-25 11:27:25 -------- d-----w C:\Programme\Microsoft IntelliType Pro
2007-05-17 05:37:48 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-05-17 05:37:48 -------- d-----w C:\Programme\Samsung
2007-04-09 23:07:49 98,304 ----a-w C:\WINDOWS\system32CmdLineExt.dll
2007-04-08 21:52:08 63,040 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-03-26 06:13:52 48,354 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-26 06:13:52 316,924 ----a-w C:\WINDOWS\system32\perfh007.dat


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{19BDC73F-DBCF-48FF-9A0B-2197E5160939}=C:\WINDOWS\system32\awtsq.dll []
{7C24493F-3D23-4258-9426-42C5FC3B8211}=C:\WINDOWS\system32\mljggdb.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 12:20 C:\WINDOWS\SOUNDMAN.EXE]
"type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2004-06-03 10:51]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-02-16 10:54]
"iTunesHelper"="D:\iTunes\iTunesHelper.exe" [2007-03-14 19:05]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{7C24493F-3D23-4258-9426-42C5FC3B8211}"="C:\WINDOWS\system32\mljggdb.dll" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtsq]
C:\WINDOWS\system32\awtsq.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljggdb]
mljggdb.dll



**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-26 16:32:26
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-26 16:33:02
C:\ComboFix-quarantined-files.txt ... 2007-06-26 16:32
C:\ComboFix2.txt ... 2007-06-26 15:07
C:\ComboFix3.txt ... 2007-06-26 15:02

--- E O F ---
Seitenanfang Seitenende
26.06.2007, 16:47
raman
Moderator

Beiträge: 7805
#6 Das sieht besser aus. Schicke bitte die Datei Backup.zip aus dem Ordner c:\avenger an die Emailadresse.


Dann hake bitte in Hijackthis folgendes an und druecke fix checked:

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\pblnkdol.exe (file missing)
O20 - Winlogon Notify: awtsq - C:\WINDOWS\system32\awtsq.dll (file missing)
O20 - Winlogon Notify: mljggdb - mljggdb.dll (file missing)
O2 - BHO: (no name) - {19BDC73F-DBCF-48FF-9A0B-2197E5160939} - C:\WINDOWS\system32\awtsq.dll (file missing)
O2 - BHO: (no name) - {7C24493F-3D23-4258-9426-42C5FC3B8211} - C:\WINDOWS\system32\mljggdb.dll (file missing)


Starte neu und schaue, ob die Eintraege verschwunden sind.

Danachloesche die Ordner qoobox und Avenger mache noch einen Kontrollscan mit

Drwebcureit: http://freedrweb.com/?lng=de

Ewidomicro: http://downloads.ewido.net/ewido_micro.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.06.2007, 17:39
Romru
...neu hier

Themenstarter

Beiträge: 4
#7 so alles erledigt und eintraege sind auch weg!

ewido micro hatte noch was gefunden konnte es aber bereinigen.

clean drive und explorer.exe haben sich nicht mehr gemeldet!

vielen dank fuer die schnelle und kompetente hilfe!!!


gruss,


olli aka romru


----------------------------------------------



hallo,

habe leider doch noch was drauf... ;)

von kaspersky kommt nun immer die meldung "not-a-virus:adware.win32.virtumonde.jp" in "c:\system volume onformation\_restore...dll"

habe daraufhin die datei von kaspersky loeschen lassen und hab auch nochmal die systemwiederherstellung bereinigt.

gruss,

olli
Dieser Beitrag wurde am 27.06.2007 um 16:14 Uhr von Romru editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1