Home » Viren, Trojaner & Malware Forum » backdoor / trojan.downloader » Themenansicht

backdoor / trojan.downloader
#0
06.08.2007, 18:44
AgathoN
Member

Beiträge: 12
#1 Huhu,
komme ma wieder net klar oO

1. temporäre dateien gelöscht

2.hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 18:29, on 2007-08-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Binn\sqlservr.exe
C:\WINDOWS\system32\oodag.exe
C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\oodtray.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Grisoft\AVG7\avgwb.dat
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\Dokumente und Einstellungen\IKON\Desktop\HijackThis.exe
C:\WINDOWS\system32\findstr.exe was ist das? gibt nicht wirklich was her

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [CTDVDDET] "C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CED04BBB-1277-409F-BBEF-E6AA6BB078B6}: NameServer = 192.168.1.1
O20 - Winlogon Notify: avgwlntf - C:\WINDOWS\SYSTEM32\avgwlntf.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: MSSQL$AUTODESKVAULT - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe" -sAUTODESKVAULT (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SQLAgent$AUTODESKVAULT - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlagent.EXE" -i AUTODESKVAULT (file missing)


3.combofix
ComboFix 07-08-04.3 - "IKON" 2007-08-06 18:28:16.2 [GMT 2:00] - NTFS
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.Wahr


((((((((((((((((((((((((( Files Created from 2007-07-06 to 2007-08-06 )))))))))))))))))))))))))))))))


2007-08-06 15:08 9,216 --a------ C:\WINDOWS\system32\avgwlntf.dll
2007-08-04 19:58 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-04 19:26 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-08-04 14:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DirectX
2007-08-03 14:16 <DIR> d-------- C:\Programme\UDPixel
2007-07-23 08:13 295 --a------ C:\WINDOWS\EReg072.dat
2007-07-19 21:38 <DIR> d-------- C:\DOKUME~1\IKON\ANWEND~1\AquaNox
2007-07-19 18:04 <DIR> d-------- C:\Programme\OpenAL
2007-07-10 23:51 <DIR> d-------- C:\Programme\Lavalys


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-06 18:09 --------- d-------- C:\Programme\DAEMON Tools
2007-08-05 21:55 --------- d-------- C:\DOKUME~1\IKON\ANWEND~1\uTorrent
2007-08-04 19:44 --------- d-------- C:\Programme\Winamp
2007-08-04 19:42 --------- d-------- C:\Programme\MagicISO
2007-08-04 19:42 --------- d-------- C:\Programme\JetAudio
2007-08-04 19:39 --------- d-------- C:\Programme\ICQLite
2007-08-04 13:39 --------- d-------- C:\DOKUME~1\IKON\ANWEND~1\teamspeak2
2007-08-01 17:49 --------- d-------- C:\Programme\PokerStars.NET
2007-07-23 08:38 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-07-23 08:02 --------- d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2007-07-19 18:04 413696 --a------ C:\WINDOWS\system32\wrap_oal.dll
2007-07-19 18:04 110592 --a------ C:\WINDOWS\system32\OpenAL32.dll
2007-07-11 09:00 479136 --a------ C:\WINDOWS\system32\perfh007.dat
2007-07-11 09:00 103884 --a------ C:\WINDOWS\system32\perfc007.dat
2007-06-17 16:03 --------- d-------- C:\DOKUME~1\IKON\ANWEND~1\Sony
2007-06-17 15:15 --------- d-------- C:\DOKUME~1\IKON\ANWEND~1\Publish Providers
2007-06-17 15:06 --------- d-------- C:\Programme\Vstplugins
2007-06-17 02:11 43602 --a------ C:\WINDOWS\system32\xvid-uninstall.exe
2007-06-17 02:11 --------- d-------- C:\Programme\AviSynth 2.5
2007-06-17 01:27 --------- d-------- C:\Programme\Gabest
2007-05-29 12:29 48376 --a------ C:\DOKUME~1\IKON\ANWEND~1\GDIPFONTCACHEV1.DAT
2007-05-18 03:58 339968 --a------ C:\WINDOWS\system32\ATIDEMGX.dll
2007-05-18 03:58 307200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2007-05-18 03:57 268288 --a------ C:\WINDOWS\system32\ati2dvag.dll
2007-05-18 03:57 2164736 --a--c--- C:\WINDOWS\system32\dllcache\ati2mtag.sys
2007-05-18 03:51 139264 --a------ C:\WINDOWS\system32\atipdlxx.dll
2007-05-18 03:50 42496 --a------ C:\WINDOWS\system32\ati2edxx.dll
2007-05-18 03:50 26112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
2007-05-18 03:50 118784 --a------ C:\WINDOWS\system32\ati2evxx.dll
2007-05-18 03:49 479232 --a------ C:\WINDOWS\system32\ati2evxx.exe
2007-05-18 03:48 53248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
2007-05-18 03:41 2922144 --a------ C:\WINDOWS\system32\ati3duag.dll
2007-05-18 03:39 7610368 --a------ C:\WINDOWS\system32\atioglx2.dll
2007-05-18 03:30 972072 --a------ C:\WINDOWS\system32\ativva6x.dat
2007-05-18 03:30 3107788 --a------ C:\WINDOWS\system32\ativvaxx.dat
2007-05-18 03:30 3107788 --a------ C:\WINDOWS\system32\ativva5x.dat
2007-05-18 03:30 1512960 --a------ C:\WINDOWS\system32\ativvaxx.dll
2007-05-18 03:19 5431296 --a------ C:\WINDOWS\system32\atioglxx.dll
2007-05-18 03:17 262144 --a------ C:\WINDOWS\system32\atikvmag.dll
2007-05-18 03:16 17408 --a------ C:\WINDOWS\system32\atitvo32.dll
2007-05-18 03:14 46592 --a------ C:\WINDOWS\system32\atiok3x2.dll
2007-05-18 03:10 368640 --a------ C:\WINDOWS\system32\ati2cqag.dll
2007-05-17 21:05 520192 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-05-16 17:12 85504 -----c--- C:\WINDOWS\system32\dllcache\wabimp.dll
2007-05-16 17:12 510976 -----c--- C:\WINDOWS\system32\dllcache\wab32.dll
2007-05-16 17:11 86528 -----c--- C:\WINDOWS\system32\dllcache\directdb.dll
2007-05-16 17:11 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
2007-05-16 17:11 683520 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-05-16 17:11 1314816 -----c--- C:\WINDOWS\system32\dllcache\msoe.dll
2007-05-11 02:09 1050120 --a------ C:\WINDOWS\system32\oodag.exe
2007-05-11 02:08 2512392 --a------ C:\WINDOWS\system32\oodtray.exe
2007-05-11 02:08 194056 --a------ C:\WINDOWS\system32\oodbs.exe
2007-05-11 02:06 202248 --a------ C:\WINDOWS\system32\oodtrrs.dll
2007-05-11 02:06 15880 --a------ C:\WINDOWS\system32\oodagrs.dll
2007-05-11 02:06 15880 --a------ C:\WINDOWS\system32\oodagmg.dll
2007-05-11 02:06 10248 --a------ C:\WINDOWS\system32\oodbsrs.dll
2007-05-10 23:18 15368 --a------ C:\WINDOWS\system32\ootmapi.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 21:10]
"AudioDrvEmulator"="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 18:25]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-05-07 18:49]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40]
"CTDVDDET"="C:\Programme\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE" [2003-06-18 01:00]
"RCSystem"="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 18:25]
"CTHelper"="CTHELPER.EXE" [2005-08-08 00:10 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2005-08-08 00:10 C:\WINDOWS\system32\CTXFIHLP.EXE]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00]
"POINTER"="point32.exe" []
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-09-12 16:34]
"OODefragTray"="C:\WINDOWS\system32\oodtray.exe" [2007-05-11 02:08]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-08-06 15:08]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-04-21 17:03]
"Creative Detector"="C:\Programme\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 18:23]
"Steam"="" []
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2006-11-12 12:48]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=C:\Programme\ICQLite\ICQLite.exe -trayboot

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgwlntf]
avgwlntf.dll 2007-08-06 15:08 9216 C:\WINDOWS\system32\avgwlntf.dll

R0 sfsync02;StarForce Protection Synchronization Driver (version 2.x);C:\WINDOWS\system32\drivers\sfsync02.sys
R1 AmdK8;AMD-Prozessortreiber;C:\WINDOWS\system32\DRIVERS\AmdK8.sys
R1 AvgMfx86;AVG Minifilter x86 Resident Driver;C:\WINDOWS\system32\Drivers\avgmfx86.sys
R1 oreans32;oreans32;\??\C:\WINDOWS\system32\drivers\oreans32.sys
R2 atksgt;atksgt;C:\WINDOWS\system32\DRIVERS\atksgt.sys
R2 lirsgt;lirsgt;C:\WINDOWS\system32\DRIVERS\lirsgt.sys
R2 MSSQL$AUTODESKVAULT;MSSQL$AUTODESKVAULT;"C:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe" -sAUTODESKVAULT
R2 MSSQL$INVENTORCONTENT;MSSQL$INVENTORCONTENT;C:\Programme\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Binn\sqlservr.exe -sINVENTORCONTENT
R3 ATIAVAIW;ATI T200 Unified AVStream service;C:\WINDOWS\system32\DRIVERS\atinavt2.sys
R3 ha20x2k;Creative 20X HAL Driver;C:\WINDOWS\system32\drivers\ha20x2k.sys
R3 IPFilter;Microsoft IntelliPoint Features driver;C:\WINDOWS\system32\DRIVERS\IPFilter.sys
S3 atinevxx;ATI WDM Rage Theater Video NSP;C:\WINDOWS\system32\DRIVERS\atinevxx.sys
S3 atinrvxx;ATI WDM Rage Theater Video;C:\WINDOWS\system32\DRIVERS\atinrvxx.sys
S3 GMSIPCI;GMSIPCI;\??\F:\INSTALL\GMSIPCI.SYS
S3 ISD200;USB Storage Adapter V2;C:\WINDOWS\system32\DRIVERS\ISD200.SYS
S3 MPE;BDA MPE-Filter;C:\WINDOWS\system32\DRIVERS\MPE.sys
S3 MSICPL;MSICPL;\??\F:\install4\MSICPL.sys
S3 MSSQL$SONY_MEDIAMGR;MSSQL$SONY_MEDIAMGR;e:\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe -sSONY_MEDIAMGR
S3 MVDCODEC;ATI WDM Specialized MVD Codec;C:\WINDOWS\system32\DRIVERS\atinmdxx.sys
S3 NTACCESS;NTACCESS;\??\F:\NTACCESS.sys
S3 SetupNTGLM7X;SetupNTGLM7X;\??\F:\NTGLM7X.sys
S3 SQLAgent$AUTODESKVAULT;SQLAgent$AUTODESKVAULT;"C:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlagent.EXE" -i AUTODESKVAULT
S3 SQLAgent$INVENTORCONTENT;SQLAgent$INVENTORCONTENT;C:\Programme\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Binn\sqlagent.EXE -i INVENTORCONTENT
S3 SQLAgent$SONY_MEDIAMGR;SQLAgent$SONY_MEDIAMGR;e:\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE -i SONY_MEDIAMGR


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e5a488ba-52bc-11db-a96a-00161716d9ba}]
AutoRun\command- J:\Setup.exe

*Newly Created Service* - AVG7ALRT
*Newly Created Service* - AVG7UPDSVC
*Newly Created Service* - AVGCLEAN
*Newly Created Service* - AVGCORESVC
*Newly Created Service* - AVGMFX86

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-06 18:30:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG08.00.00.01WORKSTATION"="32F81D01E99995EEE6E59D6AAAA62A5ED123E2B25A0FD4F5A4E2038CF79FB905A3AF5FE59306BDB166A4EFEBDB26635930F5B151B4523746484C1C6F63CB50B3F66922B1C80C61A181A351D02BEECFFCBEABEFDE921A6B8E3A28B925B144A443E49BA1D2E1C3DFBFD89D2E73AA6CD2C5AA64D8C25E437467CE1D8AC1C67EF68989111E29DB54DCBF7024F8220E9C10650017B057A642171E3D25C24B2A02511365E9D909577B40073419249EB291F0BFB30ABB6D9E1E5FB5A18D1940876AFB9CDC961EBC9989B833EF35AA2094F2A26D1A5BC2C69EF01BE27978460FAE6A8999396034818C663313D584874E56FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E667C038D530D6EB34525D575E7D6A3B9808A6171C11EC38DE3D7B0947D4949C60366C1792CB04405DC762E7EA22890FE7934FEAB809DB8CEFDA450298652145D8D002D16C9624A6772A5620C4C5DCE3DB3851C411CB496D6F8E4323A62098775F420CBC155E1E8FDD32404D49D61FC3A9E0137A83B2E8D96DE09C159AA43895E84E67DF122C750E7258D0767CE8B99340DF3BB6B1FAA629859B0E41D378938ADDD704071F6E03BC8BBC4F6997F067BD032D06E6F2C2453649B0E758E38311BD9BE6E8442DF470B6F11E953986C9BAB0C8E3C23CCE0E5ADE3BB18D4C9192EB23732B2EE9DE75BE1E65E591B7E9B219DBDBC1542F83C34F06D3D879D4D7D532AB29F301108B0BC117969B470217CC3837FBAAB27802AFE2127E01B56E6561C7CE78B624933EB0A1C92CEC4BF0952028BA5B2567967180A5ED9CA863D59BADE1890B8B6B14B74A5A6240AD48A9A19548E4A2DB13CBA9CA7E088276371013178CDB84AF40766A9BB99260527C0FAD7BCCB6EA9DE81DB905A6D3F531F8E294DE26C778052163FECEE40F8E75B94A5C853FB645DD30D6E08B2BC7B444855A9E29E0D4EF0F1EC4506F54114154684986C9FC6DB2B4C406969CEF5DEDBF4BC4E37D459169F65D4D6D71D2526251003DB9C1B5E92BD914FB05DB28944757D0B6CB49AB0AD48996EE1B2980175072909A34CCEE3D1AAEA3D00752DF6FD5E32D0770DBC45597B99863CECFD022DCE03C1BEDAC807C5EB5095CB0E8737428610D4F9FEA13088919442737038CBCCC6CB83B8C0819424A15703DC6F015AE3EED316F5D0DEC3FF8630F78B0C3CDB2DB04CF3DEDE8B62BA5981858411D4AAC0B4EEB8BDEC07C9A267402DBD0F80654383FE12622BEB05A2B2FD4D0CF04ED8176EBA78A0F65413EC7CBB91B5EE9F6F80359DE3E6DDA2D7389E90D11D3A2ACC2DC50DF970C3E0E50051169C154453BF6522D4E12C9F42CA1E402BBC8E057088B0FAD259F29760AFD7B0B549E639BBBAAAF3F4A7562A5FB9253D1F0E942E5D67A50559B59ED"
"OODEFRAG10.00.00.01WORKSTATION"="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"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000604

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-06 18:31:24
C:\ComboFix2.txt ... 2007-08-04 20:02

--- E O F ---


4.datfind.bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78BA-C319

Verzeichnis von C:\WINDOWS\system32

06.08.2007 18:26 13.646 wpa.dbl
06.08.2007 15:08 9.216 avgwlntf.dll
06.08.2007 10:03 128.970 oodbs.lor
06.08.2007 03:32 1.080 settingsbkup.sfm
06.08.2007 03:32 64.988 DVCState-{00000001-00000000-00000008-00001102-00000005-00211102}.rfx
06.08.2007 03:32 1.080 settings.sfm
06.08.2007 03:32 55.692 BMXStateBkp-{00000001-00000000-00000008-00001102-00000005-00211102}.rfx
06.08.2007 03:32 55.692 BMXState-{00000001-00000000-00000008-00001102-00000005-00211102}.rfx
04.08.2007 19:31 0 asfiles.txt
04.08.2007 19:26 2.550 Uninstall.ico
04.08.2007 19:26 1.406 Help.ico
04.08.2007 19:26 30.590 pavas.ico
03.08.2007 00:08 5.214 jupdate-1.6.0_02-b06.log
22.07.2007 18:39 279.552 swreg.exe
22.07.2007 01:23 192.976 FNTCACHE.DAT
19.07.2007 18:04 413.696 wrap_oal.dll
19.07.2007 18:04 110.592 OpenAL32.dll
12.07.2007 02:22 139.264 javaws.exe
12.07.2007 02:22 69.632 javacpl.cpl
12.07.2007 01:22 135.168 javaw.exe
12.07.2007 01:22 135.168 java.exe
11.07.2007 09:00 86.048 perfc009.dat
11.07.2007 09:00 479.136 perfh007.dat
11.07.2007 09:00 455.118 perfh009.dat
11.07.2007 09:00 1.101.730 PerfStringBackup.INI
11.07.2007 09:00 103.884 perfc007.dat
28.06.2007 09:57 16.256.984 MRT.exe
17.06.2007 02:11 43.602 xvid-uninstall.exe
18.05.2007 03:58 339.968 ATIDEMGX.dll
18.05.2007 03:58 307.200 atiiiexx.dll
18.05.2007 03:57 268.288 ati2dvag.dll
18.05.2007 03:51 139.264 atipdlxx.dll
18.05.2007 03:50 26.112 Ati2mdxx.exe
18.05.2007 03:50 42.496 ati2edxx.dll
18.05.2007 03:50 118.784 ati2evxx.dll
18.05.2007 03:49 479.232 ati2evxx.exe
18.05.2007 03:48 53.248 ATIDDC.DLL
18.05.2007 03:41 2.922.144 ati3duag.dll
18.05.2007 03:39 7.610.368 atioglx2.dll
18.05.2007 03:30 1.512.960 ativvaxx.dll
18.05.2007 03:30 3.107.788 ativva5x.dat
18.05.2007 03:30 972.072 ativva6x.dat
18.05.2007 03:30 3.107.788 ativvaxx.dat
18.05.2007 03:19 5.431.296 atioglxx.dll
18.05.2007 03:17 262.144 atikvmag.dll
18.05.2007 03:16 17.408 atitvo32.dll
18.05.2007 03:14 46.592 atiok3x2.dll
18.05.2007 03:10 368.640 ati2cqag.dll
17.05.2007 21:05 520.192 ati2sgag.exe
16.05.2007 17:11 683.520 inetcomm.dll
11.05.2007 02:09 1.050.120 oodag.exe
11.05.2007 02:08 2.512.392 oodtray.exe
11.05.2007 02:08 194.056 oodbs.exe
11.05.2007 02:06 202.248 oodtrrs.dll
11.05.2007 02:06 10.248 oodbsrs.dll
11.05.2007 02:06 15.880 oodagmg.dll
11.05.2007 02:06 15.880 oodagrs.dll
10.05.2007 23:18 15.368 ootmapi.dll
04.05.2007 14:27 3.079.680 mshtml.dll
03.05.2007 07:33 4.254 jupdate-1.6.0_01-b06.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78BA-C319

Verzeichnis von C:\DOKUME~1\IKON\LOKALE~1\Temp

06.08.2007 18:31 173 jusched.log
06.08.2007 18:28 16.384 ~DFD1EE.tmp
06.08.2007 18:27 16.384 ~DFD581.tmp
06.08.2007 18:27 512 ~DFC7C0.tmp
06.08.2007 18:27 16.384 ~DFC768.tmp
5 Datei(en) 49.837 Bytes
0 Verzeichnis(se), 6.947.291.136 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78BA-C319

Verzeichnis von C:\WINDOWS

06.08.2007 18:17 1.365.197 WindowsUpdate.log
06.08.2007 10:03 0 0.log
06.08.2007 10:03 2.048 bootstat.dat
06.08.2007 03:32 32.630 SchedLgU.Txt
06.08.2007 01:35 391.503 DirectX.log
04.08.2007 21:30 116 NeroDigital.ini
04.08.2007 19:56 14.821 KB892130.log
04.08.2007 19:56 123.455 setupapi.log
04.08.2007 19:31 642 win.ini
04.08.2007 04:51 50 wiaservc.log
04.08.2007 04:51 214 wiadebug.log
23.07.2007 08:18 10.398 EAConfigInfo.txt
23.07.2007 08:13 295 EReg072.dat
21.07.2007 19:01 316.640 WMSysPr9.prx
20.07.2007 00:47 109.056 catchme.exe
19.07.2007 18:14 4.584 fred2_open_3_6_9-INF.INI
19.07.2007 18:14 453 fred2_open_3_6_9_debug-INF.INI
19.07.2007 18:14 453 fred2_open_3_6_9_debug.INI
17.06.2007 00:11 51.200 nircmd.exe
13.06.2007 07:27 1.045.021 iis6.log
13.06.2007 07:27 243.917 comsetup.log
13.06.2007 07:27 147.142 ntdtcsetup.log
13.06.2007 07:27 33.118 ocmsn.log
13.06.2007 07:27 421.947 tsoc.log
13.06.2007 07:27 46.566 tabletoc.log
13.06.2007 07:27 1.374 imsins.log
13.06.2007 07:27 18.485 KB933566.log
13.06.2007 07:27 159.820 netfxocm.log
13.06.2007 07:27 45.692 msgsocm.log
13.06.2007 07:27 454.774 ocgen.log
13.06.2007 07:27 43.513 medctroc.Log
13.06.2007 07:27 906.712 FaxSetup.log
13.06.2007 07:27 289.930 msmqinst.log
13.06.2007 07:27 70.309 updspapi.log
13.06.2007 07:27 1.374 imsins.BAK
13.06.2007 07:27 11.704 KB929123.log
13.06.2007 07:27 11.002 KB935840.log
13.06.2007 07:26 11.020 KB935839.log
01.06.2007 13:14 0 oodcnt.INI
23.05.2007 07:00 8.349 KB927891.log
18.05.2007 22:27 75.780 wmsetup.log
10.05.2007 07:41 13.178 KB931768.log
09.05.2007 12:06 10.416 KB930916.log
04.05.2007 16:56 3.164 mozver.dat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78BA-C319

Verzeichnis von C:\WINDOWS\Temp

06.08.2007 10:03 16.384 Perflib_Perfdata_4e4.dat
06.08.2007 10:03 16.384 Perflib_Perfdata_468.dat
2 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 6.947.274.752 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78BA-C319

Verzeichnis von C:\WINDOWS\Downloaded Program Files

24.08.2006 08:28 141.424 asinst.dll
22.08.2006 09:06 537 asinst.inf
15.06.2006 13:16 65 desktop.ini

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 78BA-C319

Verzeichnis von C:\

06.08.2007 18:34 0 sys.txt
06.08.2007 18:34 1.139 down.txt
06.08.2007 18:34 351 tmp.txt
06.08.2007 18:34 12.925 system.txt
06.08.2007 18:33 487 systemtemp.txt
06.08.2007 18:33 107.545 system32.txt
06.08.2007 18:31 14.619 ComboFix.txt
06.08.2007 10:30 273 moduleName.txt
06.08.2007 10:03 1.610.612.736 pagefile.sys
04.08.2007 20:02 14.066 ComboFix2.txt

Soweiz nichts Auffälliges.

Problembeschreibung:
AVG 7.5 Anti-Malware laufen lassen....folgende funde:
Ärgerlich ich kann das log nicht direkt kopieren

BackDoor.Hupigon in H:\System VOlume Information\_restore{1b4f ......A0086271.exe sowie: A0086274.exe

Downloader.Obfuskated C:\Programme\BitGrabber\ZM\minime.exe

Ne Menge Java\Deployment\ Cache Sachen, die aber vermutlich nur in der Gatorklasse sind, ergo nicht so wild.

Dieses minime.exe würde vermutlich mit avenger sich killen lassen. Nur bei dem System Volume bin ich etwas skeptisch.
Seitenanfang Seitenende
07.08.2007, 09:41
raman
Moderator

Beiträge: 7805
#2 Das sieht mir alles nach Fehlalarm aus. Teste die Datei C:\Programme\BitGrabber\ZM\minime.exe bei Jotti oder Virustotal und sag, was gemeldet wird.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.08.2007, 10:29
AgathoN
Member

Themenstarter

Beiträge: 12
#3 Das Problem ist, diese Datei und den Ordner Bitgrabber gibt es nicht. Und an den Ordner H:\System VOlume Information\_restore{ komme ich ebenfalls nicht heran :/
Seitenanfang Seitenende
07.08.2007, 11:22
raman
Moderator

Beiträge: 7805
#4 Das mit der Systemwiederherstellung ist klar, aber kein Problem. Schau, ob du den Ordner Bitgrabber findest, wenn du folgendes einstellst: http://people.freenet.de/rene-gad/invisible.html


Die Dateien aus dem Ordner System VOlume Information wirst du los, indem du die systemwiederherstellung deaktivierst und wieder aktivierst. http://www.bsi.bund.de/av/texte/wiederher.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.08.2007, 12:05
AgathoN
Member

Themenstarter

Beiträge: 12
#5 hm dennoch nicht da, eventuell war das ja wirklich falscher alarm und avg hat es gleich gelöscht. ich lasse es noch mal durchlaufen und melde mich dann noch mal.

kannst du mir kurz erklären wieso das mit der system wiederherstellung klar ist? ;)
Seitenanfang Seitenende
07.08.2007, 12:09
raman
Moderator

Beiträge: 7805
#6 Der Ordner wird von Windows verwaltet und da kannst du mit keinem Programm hineinschauen. Einige AV Programme koennen es, aber eine Datei die sich darin befindet( in der Systemwiederherstellung) ist sowieso harmlos, es sei denn man stellt einen Wiederherstellungspunkt wieder her.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1