TR/Vundo wieder mal aktiv

#0
05.09.2007, 11:49
...neu hier

Beiträge: 1
#1 Hallo und schonmal danke für die Hilfe!

Habe wie in einigen Threads schon beschrieben o.g. Trojaner mir eingefangen und poste mal meine Logfiles wie hier beschrieben

http://board.protecus.de/t26808.htm

Als erstes die Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 11:36:19, on 05.09.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\cusrvc.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\wm.exe
C:\WINNT\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINNT\system32\NWTRAY.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder\OrderReminder.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
D:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
D:\Programme\eMule\Incoming\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 85.18.242.30:80
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn4\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn4\yt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [IncrediMail] D:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programme\Yahoo!\Messenger\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Programme\Yahoo!\Messenger\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\winnt\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\spacklsp.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {156BF4B7-AE3A-4365-BD88-95A75AF8F09D} (HPSDDX Class) - http://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} - http://www.bilderservice.de/direkt/static/download/iedropupload.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab
O16 - DPF: {60EFC337-15C2-4369-B2A0-3429B071D8B8} - http://h50203.www5.hp.com/HPISWeb/Customer/cabs/HPISWebManager.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/o2cplayer.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Steuerung des DownloadManager ) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B943F87-0435-498D-8958-19C79F6AD495}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{90CC4775-ED0F-41C7-9C3B-8F3144D51F1F}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINNT\system32\cusrvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\hpzipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: Novell Arbeitsstations-Manager (WM) - Novell, Inc. - C:\WINNT\system32\wm.exe

zum Combofix

ComboFix 07-08-30.3 - "user" 05.09.2007 11:45:04.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.573 [GMT 2:00]


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\platz3\ANWEND~1\microsoft\internet explorer\quick launch\intern~1.lnk
C:\DOKUME~1\user\ANWEND~1\hidires
C:\DOKUME~1\user\ANWEND~1\microsoft\internet explorer\quick launch\intern~1.lnk
C:\WINNT\hosts
C:\WINNT\regedit.com
C:\WINNT\system32\efcywur.dll
C:\WINNT\system32\info.txt
C:\WINNT\system32\kjllm.bak1
C:\WINNT\system32\kjllm.ini
C:\WINNT\system32\mlljk.dll
C:\WINNT\system32\taskmgr.com
C:\WINNT\t\


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_M_HOOK
-------\m_hook


((((((((((((((((((((((((( Files Created from 2007-08-05 to 2007-09-05 )))))))))))))))))))))))))))))))


2007-09-05 11:44 51,200 --a------ C:\WINNT\nircmd.exe
2007-09-05 10:07 2,460 --a------ C:\WINNT\system32\tmp.reg
2007-09-05 10:06 53,248 --a------ C:\WINNT\system32\Process.exe
2007-09-05 10:06 51,200 --a------ C:\WINNT\system32\dumphive.exe
2007-09-05 10:06 288,417 --a------ C:\WINNT\system32\SrchSTS.exe
2007-09-05 09:26 <DIR> d-------- C:\VundoFix Backups
2007-09-05 08:33 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\FLEXnet
2007-09-05 08:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2007-09-05 06:55 <DIR> d-------- C:\DOKUME~1\user\ANWEND~1\Download Manager
2007-09-04 06:52 <DIR> d-------- C:\Programme\WIBU-SYSTEMS
2007-08-28 15:02 <DIR> d-------- C:\WINNT\_ISTMP1.DIR


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

98-08-24 12:09 10000 --a------ C:\WINNT\inf\unregpn.exe
07-09-05 09:54 74752 --a------ C:\WINNT\ST6UNST.EXE
07-09-05 09:54 290816 --------- C:\WINNT\Setup1.exe
07-09-05 06:18 --------- d-------- C:\DOKUME~1\user\ANWEND~1\AdobeUM
07-09-04 07:22 --------- d--h----- C:\Programme\InstallShield Installation Information
07-09-04 07:21 --------- d-------- C:\Programme\LEXsoftPro
07-09-04 06:43 --------- d-------- C:\Programme\IsoBuster
07-08-31 16:50 264 --a------ C:\WINNT\system32\winsusrm.dll
07-08-30 05:56 115 --a------ C:\WINNT\SHISETUP.SYS
07-07-30 19:19 92504 --a------ C:\WINNT\system32\cdm.dll
07-07-30 19:19 549720 --a------ C:\WINNT\system32\wuapi.dll
07-07-30 19:19 53080 --a------ C:\WINNT\system32\wuauclt.exe
07-07-30 19:19 43352 --a------ C:\WINNT\system32\wups2.dll
07-07-30 19:19 325976 --a------ C:\WINNT\system32\wucltui.dll
07-07-30 19:19 203096 --a------ C:\WINNT\system32\wuweb.dll
07-07-30 19:19 1712984 --a------ C:\WINNT\system32\wuaueng.dll
07-07-30 19:18 33624 --a------ C:\WINNT\system32\wups.dll
07-07-26 08:00 --------- d-------- C:\Programme\MSN Messenger
07-07-15 13:23 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\FuxMedia
07-06-26 11:57 235280 --a------ C:\WINNT\system32\GDI32.DLL
07-06-07 08:50 1119232 --a------ C:\WINNT\system32\msxml3.dll
04-04-01 15:28 271 ---h----- C:\Programme\desktop.ini
04-04-01 15:28 22080 ---h----- C:\Programme\folder.htt
03-06-20 14:00 32528 --a------ C:\WINNT\inf\wbfirdma.sys
2004-04-03 09:34:51 8,192 --sha-w C:\WINNT\o2cLicStore.bin
2007-01-30 07:50:57 5 --sha-w C:\WINNT\system32\cdefcef4_s.dll
2006-08-15 10:48:44 56 --sh--r C:\WINNT\system32\FC26DB7618.sys
2006-12-19 09:26:37 3,350 --sha-w C:\WINNT\system32\KGyGaAvL.sys


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [03-05-29 16:28 ]
"NWTRAY"="NWTRAY.EXE" [02-03-12 10:37 C:\WINNT\system32\nwtray.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [07-04-20 06:33 ]
"StatusClient 2.6"="C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" [03-10-03 19:52 ]
"TomcatStartup 2.5"="C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe" [04-04-09 17:31 ]
"OrderReminder"="C:\Programme\Hewlett-Packard\OrderReminder\OrderReminder\OrderReminder.exe" [07-04-19 12:58 ]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [03-12-05 15:41 ]
"Synchronization Manager"="mobsync.exe" [03-06-20 14:00 C:\WINNT\system32\mobsync.exe]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [07-05-10 22:46 ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IncrediMail"="D:\Programme\IncrediMail\bin\IncMail.exe" [06-11-16 10:39 ]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" [06-11-23 17:46 ]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"=internat.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"CompatibleRUPSecurity"=1 (0x1)
"SynchronousMachineGroupPolicy"=0 (0x0)
"SynchronousUserGroupPolicy"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"=0 (0x0)
"NoClose"=0 (0x0)
"DisableChangePassword"=0 (0x0)
"NoShutDown"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"=0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 nwv1_0 C:\\WINNT\\system32\\mlljk

[color=red]SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Yahoo! Pager"="D:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
"ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
"Synchronization Manager"=mobsync.exe /logon
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys
R0 NICM;Novell InterService-Kommunikationstreiber;C:\WINNT\system32\drivers\nicm.sys
R0 NWFILTER;Novell-UNC-Pfadfilter;C:\WINNT\system32\NetWare\nwfilter.sys
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys
R2 ACEDRV06;ACEDRV06;\??\C:\WINNT\system32\drivers\ACEDRV06.sys
R2 cusrvc;Client Update Service for Novell;C:\WINNT\system32\cusrvc.exe
R2 NetwareWorkstation;Novell Client für Windows 2000;C:\WINNT\system32\NetWare\nwfs.sys
R2 Nsynas32;Nsynas32;C:\WINNT\system32\drivers\Nsynas32.sys
R2 NWDHCP;Novell DHCP-Informations-Client;C:\WINNT\system32\NetWare\nwdhcp.sys
R2 NWSIPX32;Novell NetWare-IPX/SPX-Transport-Schnittstelle;C:\WINNT\system32\NetWare\nwsipx32.sys
R2 RESMGR;Novell NetWare-Ressourcen-Manager;C:\WINNT\system32\NetWare\resmgr.sys
R2 SRVLOC;Novell Servicestandort;C:\WINNT\system32\NetWare\srvloc.sys
R2 SSIPDDP;SSIPDDP: Parallel port device driver;\??\C:\WINNT\system32\Drivers\SSIPDDP.SYS
R3 AVMCOWAN;AVMCOWAN;C:\WINNT\system32\DRIVERS\AVMCOWAN.sys
R3 fpcibase;FRITZ!Card PCI;C:\WINNT\system32\DRIVERS\fpcibase.sys
R3 NWSAP;Novell SAP-Namespace-Anbieter;C:\WINNT\system32\NetWare\NWSAP.sys
R3 NWSNS;Einfache Novell-Namen-Services;C:\WINNT\system32\NetWare\NWSNS.sys
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys
S3 avfwim;AvFw Packet Filter Miniport;C:\WINNT\system32\DRIVERS\avfwim.sys
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe
S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe"
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINNT\system32\DRIVERS\NETFRITZ.SYS
S3 NWDNS;DNS-Namespace-Service-Anbieter von Novell;C:\WINNT\system32\NetWare\nwdns.sys
S3 NWHOST;Namespace-Service-Anbieter der Hostdatei von Novell;C:\WINNT\system32\NetWare\NWHOST.sys
S3 NWSLP;SLP-Namespace-Service-Anbieter von Novell;C:\WINNT\system32\NetWare\nwslp.sys
S3 TODslService;T-Online DSL-Manager;"C:\Programme\T-Online\DSL-Manager\TODslSvc.exe"

*Newly Created Service* - IPNAT
*Newly Created Service* - RASAUTO
*Newly Created Service* - SHAREDACCESS

Contents of the 'Scheduled Tasks' folder
2007-09-03 06:16:22 C:\WINNT\Tasks\1-Klick-Wartung.job - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
2007-09-05 07:00:00 C:\WINNT\Tasks\SYNSOACC.job - E:\MB Software\Arcon\Arcon 6.51\crack\SYNSOACC.dll

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-05 11:49:39
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************

Completion time: 2007-09-05 11:52:01 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 07-09-05 11:51

--- E O F ---

so zur datfind.bat


05.09.2007 11:50 16.384 Perflib_Perfdata_6f4.dat
05.09.2007 11:49 503 wmprtnt.log
05.09.2007 11:48 331.480 FNTCACHE.DAT
05.09.2007 10:07 2.460 tmp.reg
05.09.2007 10:07 0 tmp.txt
31.08.2007 16:50 264 winsusrm.dll
28.08.2007 11:22 5.214 jupdate-1.6.0_02-b06.log
02.08.2007 21:34 16.789.464 MRT.exe
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
22.07.2007 18:39 279.552 swreg.exe
12.07.2007 02:22 139.264 javaws.exe
12.07.2007 02:22 69.632 javacpl.cpl
12.07.2007 01:22 135.168 javaw.exe
12.07.2007 01:22 135.168 java.exe
11.07.2007 06:07 407.668 perfh009.dat
11.07.2007 06:07 83.008 perfc007.dat
11.07.2007 06:07 67.732 perfc009.dat
11.07.2007 06:07 410.668 perfh007.dat
11.07.2007 06:07 942.928 PerfStringBackup.INI
26.06.2007 11:57 235.280 GDI32.DLL
12.06.2007 12:59 582.144 WININET.DLL
12.06.2007 12:59 463.872 URLMON.DLL
12.06.2007 12:59 498.176 MSTIME.DLL
12.06.2007 12:59 236.032 IEPEERS.DLL
12.06.2007 12:59 2.704.896 MSHTML.DLL
12.06.2007 12:59 70.144 INSENG.DLL
12.06.2007 12:28 1.340.416 SHDOCVW.DLL
12.06.2007 12:28 132.096 MSRATING.DLL
12.06.2007 12:28 403.456 SHLWAPI.DLL
12.06.2007 12:28 144.384 CDFVIEW.DLL
12.06.2007 12:28 1.017.856 BROWSEUI.DLL
12.06.2007 11:11 12.288 JSPROXY.DLL
12.06.2007 11:09 34.816 PNGFILT.DLL
12.06.2007 11:09 351.744 DXTMSFT.DLL
12.06.2007 11:09 192.512 DXTRANS.DLL
07.06.2007 08:50 1.119.232 msxml3.dll
08.05.2007 15:03 1.275.392 msxml4.dll



Verzeichnis von C:\DOKUME~1\user\LOKALE~1\Temp

05.09.2007 11:55 0 cteng_index.dat
05.09.2007 11:51 436.249 jar_cache3211.tmp
05.09.2007 11:51 1.365.875 jar_cache3210.tmp
05.09.2007 11:51 7.529 jar_cache3209.tmp
05.09.2007 11:51 436.249 jar_cache3208.tmp
05.09.2007 11:51 1.365.875 jar_cache3207.tmp
05.09.2007 11:51 460.465 jar_cache3206.tmp
05.09.2007 11:51 7.529 jar_cache3205.tmp
05.09.2007 11:51 198 toolbox_healer3204.log
05.09.2007 11:51 436.249 jar_cache3203.tmp
05.09.2007 11:51 48.421 jar_cache3202.tmp
05.09.2007 11:51 512.635 jar_cache3201.tmp
05.09.2007 11:51 5.830 jar_cache3200.tmp
05.09.2007 11:51 11.321 jar_cache3199.tmp
05.09.2007 11:51 1.365.875 jar_cache3198.tmp
05.09.2007 11:51 33.342 jar_cache3197.tmp
05.09.2007 11:51 444.591 jar_cache3196.tmp
05.09.2007 11:51 7.529 jar_cache3195.tmp

Verzeichnis von C:\WINNT

05.09.2007 11:48 1.281.629 WindowsUpdate.log
05.09.2007 11:46 32.560 SchedLgU.Txt
05.09.2007 09:54 290.816 Setup1.exe
05.09.2007 09:54 74.752 ST6UNST.EXE
04.09.2007 07:22 54.156 QTFont.qfn
04.09.2007 07:22 1.409 QTFont.for
04.09.2007 07:19 0 vpd.properties
04.09.2007 06:13 229 NeroDigital.ini
30.08.2007 05:56 11 NetWare.INI
30.08.2007 05:56 115 SHISETUP.SYS
28.08.2007 15:04 0 =
22.08.2007 12:07 32 CD-Start.INI
17.08.2007 07:06 33 render.ini
15.08.2007 06:06 1.391 imsins.BAK
09.08.2007 17:09 754.037 AdobeFnt09.lst
03.08.2007 14:00 232 VideodeLuxe.INI
20.07.2007 00:47 109.056 catchme.exe
03.07.2007 16:27 0 ?
29.06.2007 07:43 32 start.INI
25.06.2007 05:53 0 WINNT32.LOG
22.06.2007 12:57 151 PhotoSnapViewer.INI
20.06.2007 11:22 326 M861.MOD
17.06.2007 00:11 51.200 nircmd.exe
24.05.2007 13:32 211 uno.ini
21.05.2007 09:07 307 asym.ini
21.05.2007 09:07 2.502 win.ini


Verzeichnis von C:\WINNT\TEMP


Verzeichnis von C:\WINNT\Downloaded Program Files

22.06.2007 06:31 512.000 DownloadManagerV2.ocx
22.06.2007 06:30 251 DownloadManagerV2.inf
24.01.2007 11:26 670 O2CPlayer.inf
25.09.2006 21:33 1.368.064 PIXACODnDUpload.ocx
03.06.2005 12:24 395 SnapfishActivia1000.inf
03.06.2005 12:24 286.720 SnapfishActivia1000.ocx
12.04.2005 14:58 77.824 PhtPkMSN.dll
08.04.2005 11:28 1.367 PhtPkMSN.inf
01.04.2004 16:05 65 desktop.ini

Verzeichnis von C:\

05.09.2007 12:00 0 sys.txt
05.09.2007 12:00 103.407 errorlog.txt
05.09.2007 12:00 775 down.txt
05.09.2007 11:59 120 tmp.txt
05.09.2007 11:59 14.690 system.txt
05.09.2007 11:59 1.295 systemtemp.txt
05.09.2007 11:58 126.773 system32.txt
05.09.2007 11:52 10.562 ComboFix.txt
05.09.2007 11:51 4.521 ComboFix-quarantined-files.txt
05.09.2007 11:47 805.306.368 pagefile.sys
05.09.2007 11:46 60.242 check_LSA7.txt
05.09.2007 10:43 630 VundoFix.txt
05.09.2007 10:07 4.074 rapport.txt
04.09.2007 10:52 1.000.021 ErrorLogStore.txt
04.09.2007 08:34 127 CountCyclesWMVDecLog.txt
14.05.2007 12:16 682.867 HD16A_WEB.JPG
19.04.2007 13:13 1.625 regdlls.txt
19.04.2007 07:46 1.326 playout.txt
14.03.2007 11:55 46 pdfinfo.ini
08.03.2007 17:17 62 AUTOEXEC.BAT
08.03.2007 17:14 294 ViSupport.ini
06.03.2007 08:52 2.715 WETO.TXT
Dieser Beitrag wurde am 05.09.2007 um 12:12 Uhr von timotei1977 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: