Trojaner 'TR/Spy.Agent.42496' eingefangen

Thema ist geschlossen!
Thema ist geschlossen!
#0
20.10.2007, 12:03
...neu hier

Beiträge: 4
#1 Hallo

Antivir hat einen Virus 'TR/Spy.Agent.42496' entdeckt.
Die Datei C:\WINDOWS\system32\ntos.exe habe ich bereits gelöscht. Hat aber nichts gebracht.
Habe alles gemäss eurer Anleitung abgearbeitet.
Hier die Ergebnisse:

Combofix:
----------

ComboFix 07-10-20.6 - cad06 2007-10-20 11:25:35.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1590 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\cad06\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-20 bis 2007-10-20 ))))))))))))))))))))))))))))))
.

2007-10-20 11:24 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-18 12:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\backups
2007-10-18 12:06 401,720 --a------ C:\Dokumente und Einstellungen\All Users\HiJackThis.exe
2007-10-18 12:06 360 --a------ C:\Dokumente und Einstellungen\All Users\Fix.bat
2007-10-13 11:30 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-11 19:52 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen
2007-10-11 19:22 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-10-11 19:21 <DIR> d-------- C:\WINDOWS\provisioning
2007-10-11 19:21 <DIR> d-------- C:\WINDOWS\peernet
2007-10-11 19:20 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2007-10-11 19:14 <DIR> d-------- C:\WINDOWS\EHome
2007-10-11 18:52 11,776 --------- C:\WINDOWS\system32\spnpinst.exe
2007-10-11 18:52 4,569 --------- C:\WINDOWS\system32\secupd.dat
2007-10-11 18:34 614,912 --a------ C:\WINDOWS\system32\h323msp.dll
2007-10-11 18:34 609,792 -----c--- C:\WINDOWS\system32\dllcache\xpsp2res.dll
2007-10-11 18:34 334,336 --a------ C:\WINDOWS\system32\ipnathlp.dll
2007-10-11 18:05 1,094,144 --a------ C:\WINDOWS\system32\esent.dll
2007-10-11 17:46 <DIR> d-------- C:\WINDOWS\system32\bits
2007-10-11 17:45 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-10-11 17:45 351,232 --a------ C:\WINDOWS\system32\winhttp.dll
2007-10-11 17:45 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-10-11 17:45 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2007-10-11 17:45 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll
2007-10-11 17:45 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2007-10-11 17:41 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-10-11 17:41 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-10-11 17:41 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-10-11 17:41 186,648 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-10-11 17:41 169,752 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-10-11 17:41 33,624 --a------ C:\WINDOWS\system32\wups.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-18 10:52 --------- d-----w C:\Programme\Java
2007-10-13 09:29 --------- d-----w C:\Programme\AntiVir Workstation
2007-10-01 09:33 --------- d-----w C:\Programme\FreePDF_XP
2007-08-30 14:12 --------- d-----w C:\Programme\Stadlerrail
2007-08-27 09:43 --------- d-----w C:\Programme\FreePDF
2007-08-27 09:41 --------- d-----w C:\Programme\gs
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-20 13:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir Workstation
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2006-04-28 07:23 78,440 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FreePDFAssistent"="C:\Programme\FreePDF\FreePDFA.exe" []
"avgnt"="C:\Programme\AntiVir Workstation\avgnt.exe" [2007-02-26 18:16]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-06-07 12:34]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 11:45]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-04-25 21:05]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,"

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R1 LUMDriver;LUMDriver;\??\C:\WINDOWS\system32\drivers\LUMDriver.sys
R2 AntiVirMailService;AntiVir Windows Workstation MailGuard;C:\Programme\AntiVir Workstation\avmailc.exe
R2 AVEService;AntiVir Windows Workstation MailGuard Hilfsdienst;C:\Programme\AntiVir Workstation\avesvc.exe
R2 BBDemon;Backbone Service;"C:\Programme\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe" -service
S3 OracleSmOra92ClientCache;OracleSmOra92ClientCache;C:\programme\oracle\ora92\BIN\ONRSD.EXE
S4 IBM LUM CR;IBM Central Registry License Server;C:\IFOR\WIN\BIN\I4GDB.EXE
S4 IBM LUM LMD;IBM Network License Server;C:\IFOR\WIN\BIN\I4LMD.EXE
S4 IBM LUM NDL;IBM Nodelock License Server;C:\IFOR\WIN\BIN\I4LLMD.EXE

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-20 11:33:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\ntos.exe 171008 bytes executable
C:\WINDOWS\system32\wsnpoem
IPC error: 2 Das System kann die angegebene Datei nicht finden.
Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-20 11:34:21
.
--- E O F ---

Hijackthis:
----------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:40:00, on 20.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir Workstation\sched.exe
C:\Programme\AntiVir Workstation\avguard.exe
C:\Programme\AntiVir Workstation\avesvc.exe
C:\Programme\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\programme\oracle\ora92\bin\omtsreco.exe
C:\Programme\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir Workstation\avmailc.exe
C:\Programme\AntiVir Workstation\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\3Dconnexion\3Dconnexion 3DxWare\3DxSrv.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\cad06\hbr\HiJackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lrs01/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir Workstation\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Start 3DxWare.lnk = C:\Programme\3Dconnexion\3Dconnexion 3DxWare\3DxSrv.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: AntiVir Windows Workstation MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir Workstation\avmailc.exe
O23 - Service: AntiVir Windows Workstation Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir Workstation\sched.exe
O23 - Service: AntiVir Windows Workstation Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir Workstation\avguard.exe
O23 - Service: AntiVir Windows Workstation MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir Workstation\avesvc.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\programme\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleSmOra92ClientCache - Unknown owner - C:\programme\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: spkrmon - Unknown owner - C:\Programme\Analog Devices\SoundMAX\spkrmon.exe

--
End of file - 5295 bytes

Datfind:
-------

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 348A-91F2

Verzeichnis von C:\WINDOWS\system32

20.10.2007 11:19 4'412 nvapps.xml
18.10.2007 12:52 5'686 jupdate-1.6.0_03-b05.log
14.10.2007 17:51 2'206 wpa.dbl
13.10.2007 11:45 52'764 perfc009.dat
13.10.2007 11:45 391'000 perfh007.dat
13.10.2007 11:45 380'350 perfh009.dat
13.10.2007 11:45 63'580 perfc007.dat
13.10.2007 11:45 897'954 PerfStringBackup.INI
13.10.2007 11:43 138'056 FNTCACHE.DAT
13.10.2007 11:34 129'082 TZLog.log
11.10.2007 19:52 90 spupdwxp.log
05.10.2007 10:07 279'552 swreg.exe
27.09.2007 22:19 18'089'592 MRT.exe
24.09.2007 23:31 139'264 javaws.exe
24.09.2007 23:31 69'632 javacpl.cpl
24.09.2007 22:30 135'168 javaw.exe
24.09.2007 22:30 135'168 java.exe
22.08.2007 15:13 664'576 wininet.dll
22.08.2007 15:13 1'494'528 shdocvw.dll
22.08.2007 15:13 617'472 urlmon.dll
22.08.2007 15:13 474'624 shlwapi.dll
22.08.2007 15:13 532'480 mstime.dll
22.08.2007 15:13 39'424 pngfilt.dll
22.08.2007 15:13 146'432 msrating.dll
22.08.2007 15:13 449'024 mshtmled.dll
22.08.2007 15:13 3'079'168 mshtml.dll
22.08.2007 15:13 16'384 jsproxy.dll
22.08.2007 15:13 251'392 iepeers.dll
22.08.2007 15:13 96'768 inseng.dll
22.08.2007 15:13 205'312 dxtrans.dll
22.08.2007 15:13 55'808 extmgr.dll
22.08.2007 15:13 357'888 dxtmsft.dll
22.08.2007 15:13 1'056'256 danim.dll
22.08.2007 15:13 1'022'976 browseui.dll
22.08.2007 15:13 152'064 cdfview.dll
21.08.2007 12:53 123'904 xpsp3res.dll
21.08.2007 08:16 683'520 inetcomm.dll
30.07.2007 19:20 30'040 wuaucpl.cpl.mui
30.07.2007 19:20 30'040 wuapi.dll.mui
30.07.2007 19:19 1'712'984 wuaueng.dll
30.07.2007 19:19 549'720 wuapi.dll
30.07.2007 19:19 325'976 wucltui.dll
30.07.2007 19:19 216'408 wuaucpl.cpl
30.07.2007 19:19 203'096 wuweb.dll
30.07.2007 19:19 92'504 cdm.dll
30.07.2007 19:19 53'080 wuauclt.exe
30.07.2007 19:19 43'352 wups2.dll
30.07.2007 19:18 34'136 wucltui.dll.mui
30.07.2007 19:18 33'624 wups.dll
30.07.2007 19:18 20'824 wuaueng.dll.mui
18.07.2007 14:42 60'416 tzchange.exe
09.07.2007 15:11 584'192 rpcrt4.dll

1981 Datei(en) 372'271'865 Bytes
0 Verzeichnis(se), 63'621'402'624 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 348A-91F2

Verzeichnis von C:\DOKUME~1\cad06\LOKALE~1\Temp

20.10.2007 11:40 96'779 datfind.txt
20.10.2007 11:19 16'384 ~DFAE2B.tmp
2 Datei(en) 113'163 Bytes
0 Verzeichnis(se), 63'621'435'392 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 348A-91F2

Verzeichnis von C:\WINDOWS

20.10.2007 11:21 1'515'063 WindowsUpdate.log
20.10.2007 11:19 0 0.log
20.10.2007 11:19 50 wiaservc.log
20.10.2007 11:19 157 wiadebug.log
20.10.2007 11:19 2'048 bootstat.dat
20.10.2007 06:03 136'192 catchme.exe
19.10.2007 16:42 32'618 SchedLgU.Txt
19.10.2007 09:31 47'197 avx.ini
18.10.2007 12:55 399'564 ntbtlog.txt
18.10.2007 12:52 280'432 setupapi.log
18.10.2007 12:08 9'840 EventSystem.log
16.10.2007 12:29 3'564 wmsetup.log
15.10.2007 18:41 1'864 OEWABLog.txt
13.10.2007 11:44 31'255 spupdsvc.log
13.10.2007 11:39 1'102'606 iis6.log
13.10.2007 11:39 230'805 comsetup.log
13.10.2007 11:39 28'904 ocmsn.log
13.10.2007 11:39 48'474 tabletoc.log
13.10.2007 11:39 438'930 tsoc.log
13.10.2007 11:39 139'111 ntdtcsetup.log
13.10.2007 11:39 1'393 imsins.log
13.10.2007 11:39 35'025 KB927779.log
13.10.2007 11:39 40'113 medctroc.Log
13.10.2007 11:39 47'442 msgsocm.log
13.10.2007 11:39 166'318 netfxocm.log
13.10.2007 11:39 474'636 ocgen.log
13.10.2007 11:39 943'781 FaxSetup.log
13.10.2007 11:39 306'294 msmqinst.log
13.10.2007 11:39 77'494 updspapi.log
13.10.2007 11:39 1'393 imsins.BAK
13.10.2007 11:39 32'224 KB927802.log
13.10.2007 11:39 31'795 KB928255.log
13.10.2007 11:38 32'093 KB931784.log
13.10.2007 11:38 23'499 KB933729.log
13.10.2007 11:38 30'655 KB923980.log
13.10.2007 11:38 30'059 KB936021.log
13.10.2007 11:38 29'566 KB938828.log
13.10.2007 11:38 33'577 KB939653.log
13.10.2007 11:38 23'619 KB924667.log
13.10.2007 11:38 26'627 KB900485.log
13.10.2007 11:37 26'230 KB924270.log
13.10.2007 11:37 24'422 KB931261.log
13.10.2007 11:37 17'048 KB936782.log
13.10.2007 11:37 18'552 KB927891.log
13.10.2007 11:37 24'316 KB936357.log
13.10.2007 11:37 24'064 KB921503.log
13.10.2007 11:37 23'176 KB887472.log
13.10.2007 11:37 23'934 KB938829.log
13.10.2007 11:37 16'510 KB925398.log
13.10.2007 11:36 23'775 KB925902.log
13.10.2007 11:36 22'372 KB929123.log
13.10.2007 11:35 20'429 KB926436.log
13.10.2007 11:35 21'441 KB920872.log
13.10.2007 11:35 19'989 KB930178.log
13.10.2007 11:35 21'204 KB932168.log
13.10.2007 11:35 13'490 KB922582.log
13.10.2007 11:35 18'089 KB941202.log
13.10.2007 11:35 18'603 KB918118.log
13.10.2007 11:35 17'511 KB926255.log
13.10.2007 11:35 17'284 KB938127.log
13.10.2007 11:34 17'383 KB920213.log
13.10.2007 11:34 26'222 KB933360.log
13.10.2007 11:34 15'275 KB935840.log
13.10.2007 11:34 9'807 KB886185.log
13.10.2007 11:34 14'915 KB916595.log
13.10.2007 11:34 15'098 KB930916.log
13.10.2007 11:34 9'246 KB923689.log
13.10.2007 11:34 14'921 KB935839.log
13.10.2007 11:34 15'112 KB928843.log
11.10.2007 19:54 747'293 setuplog.txt
11.10.2007 19:52 360 DtcInstall.log
11.10.2007 19:52 316'640 WMSysPr9.prx
11.10.2007 19:49 475'411 svcpack.log
11.10.2007 19:49 255'670 KB924496.log
11.10.2007 19:49 271'259 KB924191.log
11.10.2007 19:48 268'547 KB923414.log
11.10.2007 19:48 234'687 KB923191.log
11.10.2007 19:47 282'739 KB922819.log
11.10.2007 19:47 263'856 KB922616.log
11.10.2007 19:46 265'736 KB921883.log
11.10.2007 19:46 256'195 KB921398.log
11.10.2007 19:45 262'423 KB920685.log
11.10.2007 19:45 218'356 KB920683.log
11.10.2007 19:44 242'817 KB920670.log
11.10.2007 19:44 242'434 KB919007.log
11.10.2007 19:43 231'042 KB917953.log
11.10.2007 19:43 229'948 KB917422.log
11.10.2007 19:42 231'084 KB917344.log
11.10.2007 19:42 217'042 KB914389.log
11.10.2007 19:41 244'624 KB914388.log
11.10.2007 19:41 222'846 KB913580.log
11.10.2007 19:40 229'321 KB912919.log
11.10.2007 19:39 268'656 KB911927.log
11.10.2007 19:39 254'646 KB911562.log
11.10.2007 19:38 262'526 KB911280.log
11.10.2007 19:38 245'358 KB910437.log
11.10.2007 19:37 224'305 KB908531.log
11.10.2007 19:37 216'143 KB908519.log
11.10.2007 19:36 220'113 KB905749.log
11.10.2007 19:36 231'748 KB905414.log
11.10.2007 19:35 224'933 KB904706.log
11.10.2007 19:35 260'222 KB902400.log
11.10.2007 19:34 230'269 KB901214.log
11.10.2007 19:33 260'723 KB901017.log
11.10.2007 19:33 234'479 KB900725.log
11.10.2007 19:32 261'520 KB899591.log
11.10.2007 19:32 240'412 KB899589.log
11.10.2007 19:31 270'148 KB899587.log
11.10.2007 19:31 214'920 KB896428.log
11.10.2007 19:30 263'631 KB896424.log
11.10.2007 19:30 250'765 KB896423.log
11.10.2007 19:29 251'991 KB896358.log
11.10.2007 19:29 262'397 KB893756.log
11.10.2007 19:28 240'436 KB891781.log
11.10.2007 19:28 218'097 KB890859.log
11.10.2007 19:27 242'200 KB890046.log
11.10.2007 19:27 225'181 KB888302.log
11.10.2007 19:26 263'311 KB885836.log
11.10.2007 19:26 267'227 KB885835.log
11.10.2007 19:25 248'236 KB873339.log
11.10.2007 19:22 200 cmsetacl.log
11.10.2007 19:22 620 win.ini
11.10.2007 19:22 1'330 sessmgr.setup.log
11.10.2007 18:44 6'351 KB892130.log
11.10.2007 18:35 3'862 xpsp1hfm.log
11.10.2007 18:35 64'215 KB835732.log
11.10.2007 18:29 47'165 KB914798.log
11.10.2007 18:28 42'100 KB925486-IE6SP1-20060918.120000.log
11.10.2007 18:28 42'196 KB918439-IE6SP1-20060530.145346.log
11.10.2007 18:26 50'086 KB905495.log
11.10.2007 18:25 44'221 KB911564.log
11.10.2007 18:21 24'436 KB917734.log
11.10.2007 18:19 30'334 KB892944.log
11.10.2007 18:18 19'690 KB918899-IE6SP1-20060725.123917.log
11.10.2007 18:17 16'913 KB911567-OE6SP1-20060316.165634.log
11.10.2007 18:15 16'609 KB835409.log
11.10.2007 17:47 7'744 KB842773.log
11.10.2007 17:46 186'687 setupact.log
11.10.2007 17:46 9'437 KB893803v2.log
11.10.2007 17:46 8'426 KB898461.log
12.07.2007 14:55 48'092 Windows Update.log

212 Datei(en) 27'381'893 Bytes
0 Verzeichnis(se), 63'621'419'008 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 348A-91F2

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 348A-91F2

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.09.2007 01:33 1'055 jinstall-6u3.inf
16.05.2007 08:22 166'512 gp.ocx
16.05.2007 08:22 399 gp.inf
09.11.2006 17:04 898 jinstall-1_5_0_10.inf
25.04.2006 12:10 65 desktop.ini
27.03.2006 13:00 5'019 swflash.inf
11.08.2004 03:22 3'036 wmv9dmo.inf
7 Datei(en) 176'984 Bytes
0 Verzeichnis(se), 63'621'423'104 Bytes frei
.
----------------------------

Danke in Voraus für Eure Hilfe
Seitenanfang Seitenende
20.10.2007, 13:50
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lrs01/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

cfscript.txt
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem


2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix



Und ein log von Hijack This
__________
MfG Argus
Seitenanfang Seitenende
22.10.2007, 12:59
...neu hier

Themenstarter

Beiträge: 4
#3 Alles gemacht.

Hier das Logfile von Combofix:

ComboFix 07-10-20.6 - cad06 2007-10-22 12:40:56.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1553 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\cad06\hbr\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\cad06\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE::
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-22 bis 2007-10-22 ))))))))))))))))))))))))))))))
.

2007-10-20 11:37 <DIR> d-------- C:\Dokumente und Einstellungen\cad06\hbr
2007-10-20 11:24 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-18 12:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\backups
2007-10-18 12:06 401,720 --a------ C:\Dokumente und Einstellungen\All Users\HiJackThis.exe
2007-10-18 12:06 360 --a------ C:\Dokumente und Einstellungen\All Users\Fix.bat
2007-10-13 11:30 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-11 19:52 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen
2007-10-11 19:22 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-10-11 19:21 <DIR> d-------- C:\WINDOWS\provisioning
2007-10-11 19:21 <DIR> d-------- C:\WINDOWS\peernet
2007-10-11 19:20 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2007-10-11 19:14 <DIR> d-------- C:\WINDOWS\EHome
2007-10-11 18:52 11,776 --------- C:\WINDOWS\system32\spnpinst.exe
2007-10-11 18:52 4,569 --------- C:\WINDOWS\system32\secupd.dat
2007-10-11 18:34 614,912 --a------ C:\WINDOWS\system32\h323msp.dll
2007-10-11 18:34 609,792 -----c--- C:\WINDOWS\system32\dllcache\xpsp2res.dll
2007-10-11 18:34 334,336 --a------ C:\WINDOWS\system32\ipnathlp.dll
2007-10-11 18:05 1,094,144 --a------ C:\WINDOWS\system32\esent.dll
2007-10-11 17:46 <DIR> d-------- C:\WINDOWS\system32\bits
2007-10-11 17:45 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-10-11 17:45 351,232 --a------ C:\WINDOWS\system32\winhttp.dll
2007-10-11 17:45 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-10-11 17:45 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2007-10-11 17:45 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll
2007-10-11 17:45 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2007-10-11 17:41 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-10-11 17:41 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-10-11 17:41 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-10-11 17:41 186,648 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-10-11 17:41 169,752 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-10-11 17:41 33,624 --a------ C:\WINDOWS\system32\wups.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-20 10:10 --------- d-----w C:\Programme\AntiVir Workstation
2007-10-18 10:52 --------- d-----w C:\Programme\Java
2007-10-01 09:33 --------- d-----w C:\Programme\FreePDF_XP
2007-08-30 14:12 --------- d-----w C:\Programme\Stadlerrail
2007-08-27 09:43 --------- d-----w C:\Programme\FreePDF
2007-08-27 09:41 --------- d-----w C:\Programme\gs
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2006-04-28 07:23 78,440 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
.

((((((((((((((((((((((((((((( snapshot@2007-10-20_11.33.54.84 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-10-20 09:20:02 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2007-10-22 05:52:31 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2007-10-20 09:20:02 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2007-10-22 05:52:31 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2007-10-20 09:20:02 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2007-10-22 05:52:31 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FreePDFAssistent"="C:\Programme\FreePDF\FreePDFA.exe" []
"avgnt"="C:\Programme\AntiVir Workstation\avgnt.exe" [2007-02-26 18:16]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-06-07 12:34]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 11:45]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-04-25 21:05]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,"

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R1 LUMDriver;LUMDriver;\??\C:\WINDOWS\system32\drivers\LUMDriver.sys
R2 AntiVirMailService;AntiVir Windows Workstation MailGuard;C:\Programme\AntiVir Workstation\avmailc.exe
R2 AVEService;AntiVir Windows Workstation MailGuard Hilfsdienst;C:\Programme\AntiVir Workstation\avesvc.exe
R2 BBDemon;Backbone Service;"C:\Programme\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe" -service
S3 OracleSmOra92ClientCache;OracleSmOra92ClientCache;C:\programme\oracle\ora92\BIN\ONRSD.EXE
S4 IBM LUM CR;IBM Central Registry License Server;C:\IFOR\WIN\BIN\I4GDB.EXE
S4 IBM LUM LMD;IBM Network License Server;C:\IFOR\WIN\BIN\I4LMD.EXE
S4 IBM LUM NDL;IBM Nodelock License Server;C:\IFOR\WIN\BIN\I4LLMD.EXE

.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-22 12:45:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\ntos.exe 171008 bytes executable
C:\WINDOWS\system32\wsnpoem
IPC error: 2 Das System kann die angegebene Datei nicht finden.
Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-22 12:46:36
C:\ComboFix2.txt ... 2007-10-20 11:34
.
--- E O F ---

Hier das Logfile von HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:55:46, on 22.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir Workstation\sched.exe
C:\Programme\AntiVir Workstation\avguard.exe
C:\Programme\AntiVir Workstation\avesvc.exe
C:\Programme\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\programme\oracle\ora92\bin\omtsreco.exe
C:\Programme\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir Workstation\avmailc.exe
C:\Programme\AntiVir Workstation\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\3Dconnexion\3Dconnexion 3DxWare\3DxSrv.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\cad06\hbr\HJT.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir Workstation\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Start 3DxWare.lnk = C:\Programme\3Dconnexion\3Dconnexion 3DxWare\3DxSrv.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: AntiVir Windows Workstation MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir Workstation\avmailc.exe
O23 - Service: AntiVir Windows Workstation Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir Workstation\sched.exe
O23 - Service: AntiVir Windows Workstation Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir Workstation\avguard.exe
O23 - Service: AntiVir Windows Workstation MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir Workstation\avesvc.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\programme\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleSmOra92ClientCache - Unknown owner - C:\programme\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: spkrmon - Unknown owner - C:\Programme\Analog Devices\SoundMAX\spkrmon.exe

--
End of file - 5124 bytes
Seitenanfang Seitenende
22.10.2007, 13:29
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 1.
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

2.
Avenger
Download http://swandog46.geekstogo.com/avenger.zip zum Desktop
Alle Fenster muessen geschlossen sein
Starte Avenger
Anhaken “Input script manually
Die "Lupe" rechts anklicken- View/edit script (wird sich öffnen)
kopiere rein:

Files to delete:
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem


Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

3.
Download SDFix zum Desktop

Starte im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread

Und ein log von Hijack This
__________
MfG Argus
Seitenanfang Seitenende
22.10.2007, 18:59
...neu hier

Themenstarter

Beiträge: 4
#5 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ahrloumc

*******************

Script file located at: \??\C:\WINDOWS\system32\ohuiterd.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\ntos.exe deleted successfully.


Error: C:\WINDOWS\system32\wsnpoem is a folder, not a file!
Deletion of file C:\WINDOWS\system32\wsnpoem failed!

Could not process line:
C:\WINDOWS\system32\wsnpoem
Status: 0xc00000ba


Completed script processing.

*******************

Finished! Terminate.


SDFix: Version 1.110

Run by cad06 on 22.10.2007 at 18:20

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\Virus\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted
C:\WINDOWS\system32\wsnpoem\video.dll - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Programme\\Dassault Systemes\\B16\\intel_a\\code\\bin\\CNEXT.exe"="C:\\Programme\\Dassault Systemes\\B16\\intel_a\\code\\bin\\CNEXT.exe:*:Enabled:CATIA"
"C:\\Programme\\UGS\\NX 3.0\\UGII\\ugraf.exe"="C:\\Programme\\UGS\\NX 3.0\\UGII\\ugraf.exe:*:Enabled:NX Component"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

File Backups: - C:\Virus\SDFix\backups\backups.zip

Files with Hidden Attributes:

Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\df5639f970beb9dd53a1263e6651362c\BIT3.tmp"

Finished!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:01:26, on 22.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir Workstation\sched.exe
C:\Programme\AntiVir Workstation\avguard.exe
C:\Programme\AntiVir Workstation\avesvc.exe
C:\Programme\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\programme\oracle\ora92\bin\omtsreco.exe
C:\Programme\Analog Devices\SoundMAX\spkrmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir Workstation\avmailc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir Workstation\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\3Dconnexion\3Dconnexion 3DxWare\3DxSrv.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\cad06\hbr\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lrs01/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir Workstation\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Start 3DxWare.lnk = C:\Programme\3Dconnexion\3Dconnexion 3DxWare\3DxSrv.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: AntiVir Windows Workstation MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir Workstation\avmailc.exe
O23 - Service: AntiVir Windows Workstation Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir Workstation\sched.exe
O23 - Service: AntiVir Windows Workstation Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir Workstation\avguard.exe
O23 - Service: AntiVir Windows Workstation MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir Workstation\avesvc.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\programme\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleSmOra92ClientCache - Unknown owner - C:\programme\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: spkrmon - Unknown owner - C:\Programme\Analog Devices\SoundMAX\spkrmon.exe

--
End of file - 5098 bytes
Dieser Beitrag wurde am 22.10.2007 um 19:03 Uhr von Johann99 editiert.
Seitenanfang Seitenende
22.10.2007, 19:19
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Entferne auf C:\ avenger\backup.zip -->Papierkorb leeren
Entferne auf C:\SDFix\ backups -->papierkorb leeren

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Gute fahrt ;)
__________
MfG Argus
Seitenanfang Seitenende
23.10.2007, 15:56
...neu hier

Themenstarter

Beiträge: 4
#7 Hallo Arnold

Alles wieder OK. Vielen Dank für Deine schnelle und kompetente Hilfe (ich weiss, Paypal, habe aber leider kein Konto)

Jahann99
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: