ist noch Malware auf meinem Computer vorhanden?

#0
19.09.2007, 21:57
Member

Beiträge: 12
#1 Hallo, ich brauche eure Hilfe.

Der Computer von meinem Freund hatte vor ein paar Tagen über spybot einen Zlob.DNS changer gefunden, der mehrere Male wieder vorhanden war. Dann ist die Viren und Firewall-Software Bitdefender dauernd geschlossen worden und ein Virenscann hat auch nicht mehr funktioniert. Auch Ad-Aware ist nicht bis zu Ende gelaufen.

Jetzt habe ich Avira installiert, der einige Viren gefunden hat, die ich gleich gelöscht habe. Nachdem ich smidfraudfix laufenlassen habe, scheint alles wieder zu funktionieren. Aber ich bin mir nicht sicher, ob auch alles weg ist.

ComboFix 07-09-18.4 - "stefan" 2007-09-19 20:07:59.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.80 [GMT 2:00]
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\DOKUME~1\stefan\Desktop\internet.lnk

.
((((((((((((((((((((((( Dateien erstellt von 2007-08-19 bis 2007-09-19 ))))))))))))))))))))))))))))))
.

2007-09-19 20:03 51,200 --a--c--- D:\WINDOWS\NirCmd.exe
2007-09-18 20:38 <DIR> dr---c--- D:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-09-17 20:37 <DIR> d----c--- D:\Programme\Avira
2007-09-17 20:37 <DIR> d----c--- D:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
2007-09-15 18:57 <DIR> d----c--- D:\DOKUME~1\stefan\.housecall6.6
2007-09-15 15:32 <DIR> d----c--- D:\Programme\HJT
2007-09-13 11:34 <DIR> d----c--- D:\WINDOWS\BDOSCAN8
2007-09-12 20:46 <DIR> d----c--- D:\DOKUME~1\ADMINI~1\ANWEND~1\Lavasoft
2007-09-12 20:45 <DIR> d----c--- D:\DOKUME~1\ADMINI~1\ANWEND~1\Bitdefender
2007-09-12 20:44 <DIR> dr-h-c--- D:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-09-12 20:44 <DIR> dr---c--- D:\DOKUME~1\ADMINI~1\Startmen
2007-09-12 20:44 <DIR> d--h-c--- D:\DOKUME~1\ADMINI~1\Vorlagen
2007-09-12 20:44 <DIR> d--h-c--- D:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-09-12 20:44 <DIR> d--h-c--- D:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-09-12 20:44 <DIR> d--h-c--- D:\DOKUME~1\ADMINI~1\Druckumgebung
2007-09-12 20:44 <DIR> d----c--- D:\DOKUME~1\ADMINI~1\Favoriten
2007-09-12 15:32 <DIR> d----c--- D:\DOKUME~1\stefan\ANWEND~1\Bitdefender
2007-09-12 10:32 <DIR> d----c--- D:\DOKUME~1\stefan\ANWEND~1\Help
2007-09-10 12:10 207,360 --a--c--- D:\WINDOWS\system32\drivers\Dot4.sys
2007-09-10 12:10 207,360 --a--c--- D:\WINDOWS\system32\dllcache\dot4.sys
2007-09-10 12:10 12,928 --a--c--- D:\WINDOWS\system32\drivers\Dot4Prt.sys
2007-09-10 12:10 12,928 --a--c--- D:\WINDOWS\system32\dllcache\dot4prt.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-19 20:22 81984 --a--c--- D:\WINDOWS\system32\bdod.bin
2007-09-17 07:39 --------- d----c--- D:\Programme\Gemeinsame Dateien\symantec shared
2007-09-12 15:46 913408 --a--c--- D:\WINDOWS\system32\xreglib.dll
2007-09-12 15:46 71040 --a--c--- D:\WINDOWS\system32\drivers\bdfndisf.sys
2007-09-12 15:46 --------- d----c--- D:\DOKUME~1\ALLUSE~1\ANWEND~1\BitDefender
2007-09-12 15:41 77824 --a--c--- D:\WINDOWS\system32\xcomm.dll
2007-08-17 18:37 --------- d----c--- D:\DOKUME~1\stefan\ANWEND~1\Apple Computer
2007-08-10 19:52 --------- d----c--- D:\Programme\ClearProg
2007-07-30 19:19 92504 --a--c--- D:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a--c--- D:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a--c--- D:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a--c--- D:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a--c--- D:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 271224 --a--c--- D:\WINDOWS\system32\mucltui.dll
2007-07-30 19:19 207736 --a--c--- D:\WINDOWS\system32\muweb.dll
2007-07-30 19:19 203096 --a--c--- D:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a--c--- D:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a--c--- D:\WINDOWS\system32\wups.dll
2007-06-26 08:08 1104896 --a--c--- D:\WINDOWS\system32\msxml3.dll
2007-06-19 15:31 282112 --a--c--- D:\WINDOWS\system32\gdi32.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VX1000"="D:\WINDOWS\vVX1000.exe" [2006-06-30 01:42]
"NeroFilterCheck"="D:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50]
"iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2006-10-30 10:36]
"BDMCon"="D:\Programme\Softwin\BitDefender10\bdmcon.exe" [2007-09-12 15:44]
"BDAgent"="D:\Programme\Softwin\BitDefender10\bdagent.exe" [2007-09-12 15:43]
"avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="D:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-02-07 15:39]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=sockspy.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=D:\WINDOWS\system32\ctfmon.exe
"MsnMsgr"="D:\Programme\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="D:\Programme\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"="D:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
"TkBellExe"="D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

R1 bdftdif;BitDefender Firewall TDI Filter;\??\D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Firewall\bdftdif.sys
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;D:\WINDOWS\system32\DRIVERS\bdfndisf.sys
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"D:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
S3 MadgeTRN;NDIS5-Treiber für Madge Token Ring-Adapter;D:\WINDOWS\system32\DRIVERS\mdgndis5.sys
S3 MIINPazX;MIINPazX NDIS Protocol Driver;\??\D:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;D:\WINDOWS\system32\DRIVERS\wg111v2.sys
S3 SRPRJKW;SRPRJKW;D:\DOKUME~1\stefan\LOKALE~1\Temp\SRPRJKW.exe
S3 TLRHGR;TLRHGR;D:\DOKUME~1\stefan\LOKALE~1\Temp\TLRHGR.exe
S3 VX1000;VX-1000;D:\WINDOWS\system32\DRIVERS\VX1000.sys

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2007-09-19 17:54:16 D:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-19 20:18:27
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-19 20:28:45
D:\ComboFix-quarantined-files.txt ... 2007-09-19 20:28
.
--- E O F ---

-----------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:37:48, on 19.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\vVX1000.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\Softwin\BitDefender10\bdmcon.exe
D:\Programme\Softwin\BitDefender10\bdagent.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programme\Softwin\BitDefender10\vsserv.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\HJT\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [VX1000] D:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BDMCon] "D:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "D:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://D:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://D:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?8ee32fa5796b4805867c0b2eadba000f
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://D:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?8ee32fa5796b4805867c0b2eadba000f
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - D:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - D:\WINDOWS\bdoscandel.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65E6A51A-1787-4200-BC27-5749A802F4E0}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{82273EE6-19D7-412C-8FEC-ECD239F3591D}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CD9AB4E-6A9B-4B59-A3D8-44BA446204C5}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{65E6A51A-1787-4200-BC27-5749A802F4E0}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{65E6A51A-1787-4200-BC27-5749A802F4E0}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - D:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: iPod Service - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - D:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - D:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 6226 bytes
-----------------------------------------------------------------------------
Datentr„ger in Laufwerk D: ist Lokaler Datentr„ger
Volumeseriennummer: 08C0-B8C3

Verzeichnis von D:\WINDOWS\system32

19.09.2007 21:41 81.984 bdod.bin
19.09.2007 21:30 0 bdss.log
19.09.2007 21:29 2.422 wpa.dbl
18.09.2007 20:40 0 tmp.txt
18.09.2007 20:40 1.480 tmp.reg
12.09.2007 15:46 913.408 xreglib.dll
12.09.2007 15:41 77.824 xcomm.dll
06.09.2007 04:50 17.474.680 MRT.exe
30.08.2007 03:01 249.852 TZLog.log
28.08.2007 13:56 5.214 jupdate-1.6.0_02-b06.log
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:19 271.224 mucltui.dll
30.07.2007 19:19 207.736 muweb.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 30.072 mucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
22.07.2007 18:39 279.552 swreg.exe
18.07.2007 14:42 60.416 tzchange.exe
12.07.2007 02:22 139.264 javaws.exe
12.07.2007 02:22 69.632 javacpl.cpl
12.07.2007 01:22 135.168 javaw.exe
12.07.2007 01:22 135.168 java.exe
29.06.2007 16:20 185.952 rmoc3260.dll
29.06.2007 16:18 5.632 pndx5032.dll
29.06.2007 16:18 6.656 pndx5016.dll
29.06.2007 16:18 278.528 pncrt.dll
26.06.2007 16:09 664.576 wininet.dll
26.06.2007 08:08 1.104.896 msxml3.dll
19.06.2007 15:31 282.112 gdi32.dll
14.06.2007 20:09 3.079.680 mshtml.dll
14.06.2007 20:09 1.494.528 shdocvw.dll
14.06.2007 20:09 617.472 urlmon.dll
14.06.2007 20:09 39.424 pngfilt.dll
14.06.2007 20:09 474.624 shlwapi.dll
14.06.2007 20:09 532.480 mstime.dll
14.06.2007 20:09 146.432 msrating.dll
14.06.2007 20:09 449.024 mshtmled.dll
14.06.2007 20:09 96.768 inseng.dll
14.06.2007 20:09 1.056.256 danim.dll
14.06.2007 20:09 357.888 dxtmsft.dll
14.06.2007 20:09 251.392 iepeers.dll
14.06.2007 20:09 1.023.488 browseui.dll
14.06.2007 20:09 55.808 extmgr.dll
14.06.2007 20:09 152.064 cdfview.dll
14.06.2007 20:09 16.384 jsproxy.dll
14.06.2007 20:09 205.312 dxtrans.dll
14.06.2007 16:24 123.904 xpsp3res.dll
Seitenanfang Seitenende
20.09.2007, 16:19
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

online prüfen:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

D:\DOKUME~1\stefan\LOKALE~1\Temp\SRPRJKW.exe
D:\DOKUME~1\stefan\LOKALE~1\Temp\TLRHGR.exe
Poste die Ergebnisse mit Filename!

Scanne und poste die Ergebnisse:
http://freedrweb.com/?lng=de
Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten!

Chris
Seitenanfang Seitenende