Home » Viren, Trojaner & Malware Forum » ddcdb.exe und ddcdb.dll? » Themenansicht

ddcdb.exe und ddcdb.dll?
#0
23.01.2008, 12:03
GreyLady
Member

Beiträge: 14
#1 Hallo!
Weiß irgendjemand mehr über die Datei? Die hängt bei mir nämlich zur Zeit auf dem Rechner und ich weiß nicht so wirklich wie ich die wegkriegen soll...
Das PrevX Programm, das als einziger Treffer bei Google kommt, hab ich noch nicht ausprobiert, werd ich aber demnächst machen. Alle anderen Scanner und sonstigen Tools erkennen die Datei entweder gar nicht, oder melden sie als unbekannt...
Seitenanfang Seitenende
23.01.2008, 12:36
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 Hallo,
poste bitte das Log vom HijackThis
http://www.virus-protect.org/hjtkurz.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
23.01.2008, 13:36
GreyLady
Member

Themenstarter

Beiträge: 14
#3 Ich hab das Prevx CSI drüberlaufen lassen und es hat zusätzlich noch .tmp Dateien gefunden, die da auch noch dazu gehören.

Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:50:30, on 22.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
c:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx .exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\HijackThis\HijackThis.exe

F3 - REG:win.ini: load=C:\WINDOWS\system32\ddcdb.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask .exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask .exe" -atboottime
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\WINDOWS\system32\ddcdb.dll,c
O4 - Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: c:\PROGRA~1\Sophos\SOPHOS~1\detoured.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
Seitenanfang Seitenende
23.01.2008, 13:43
BataAlexander
Member

Beiträge: 33
#4 Frage ans Board: Werden gewerbliche Systeme hier behandelt?
Seitenanfang Seitenende
23.01.2008, 14:08
GreyLady
Member

Themenstarter

Beiträge: 14
#5 Ich hab das PrevBla Teil nur genommen, weil es das einzige war, das überhaupt mal erkannt hat, dass da ein Schädling drauf war, ich seh aber nicht ein warum ich dafür bezahlen sollte, um 3 Dateien zu löschen...
Ich kann die .dll Datei nicht löschen, Hijack beendet sich, wenn ich auf delete file on reboot klicke und die killbox kann immer nur eine Datei löschen (zumindest krieg ich mehr nicht hin). Die exe Datei könnte theoretisch manuell gelöscht werden, aber die kommt natürlich immer wieder, während die .dll in Benutzung sei und deswegen nicht gelöscht werden kann. Wenn man die .dll dann mit der killbox löschen will, ist sie beim neustart schon wieder da...
Seitenanfang Seitenende
23.01.2008, 14:11
raman
Moderator

Beiträge: 7805
#6 Du kennst meine Meinung dazu, wenn ich es merke, oder den Verdacht habe, das es sich um einen Firmenrechner handelt, wird auf den Sysadmin der Firma verwiesen. Sollte es sich um den Firmeninhaber selber handeln und er das Risiko einer Reinigung eingehen moechte, bitte gerne.

Ist der REchner allerdings mit Backdoor oder aehnlichem infiziert, gibts (von mir) nur neu aufsetzen. Hier bei Vundo ist das grenzwertig, aber da werden sich unser Fracktraeger und die Lady in Grau schon einigen.

Aber offiziell gibt es da bis nun keine "Richtlinie". Das waere hier (in diesem Thread) als Diskussionsthema unpassend.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.01.2008, 14:14
GreyLady
Member

Themenstarter

Beiträge: 14
#7 Ich versteh grad irgendwie nicht, worums geht *verwirrtsei*
Das hier ist kein Firmenrechner, schön wärs, dann wärs nicht mein Problem... Ich bin Student und der betroffene Rechner ist mein Laptop...
Seitenanfang Seitenende
23.01.2008, 14:20
BataAlexander
Member

Beiträge: 33
#8 sorry, mein OT. Bin nur über das Sophos gestolpert, das es ja nur für Firmen gibt.
Danke raman ;)
Seitenanfang Seitenende
23.01.2008, 14:21
GreyLady
Member

Themenstarter

Beiträge: 14
#9 Achso um Sophos gings... Das gibts auch für Universitäten ;-)
Hat in dem Fall nur nichts gebracht...
Seitenanfang Seitenende
23.01.2008, 14:26
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#10 GreyLady

mit dem HijackThis löschen ("fixen")
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked + starte den Rechner neu.

Zitat

F3 - REG:win.ini: load=C:\WINDOWS\system32\ddcdb.exe

O4 - HKCU\..\Run: [cmds] rundll32.exe C:\WINDOWS\system32\ddcdb.dll,c
»
poste das log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
23.01.2008, 14:31
raman
Moderator

Beiträge: 7805
#11 Nur um das zum Abschluss zu bringen, Sophos gbts kostenlos fuer Unis und fuer Privatpersonen, deren Firemen Sophos einsetzen. Zumindest war das bis vor 2 Jahren noch so.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.01.2008, 16:22
GreyLady
Member

Themenstarter

Beiträge: 14
#12 So, hier das Log von ComboFix:

ComboFix 08-01-23.2 - Jessica Oelhaf 2008-01-23 16:01:07.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.235 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Jessica Oelhaf\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Jessica Oelhaf\Desktop\Dokumentation\ctfmon .exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx .exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched .exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\phonostar\ps_timer .exe C:\Programme\phonostar\ps_timer.exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask.exe C:\WINDOWS\system32\bdcdd.ini C:\WINDOWS\system32\bdcdd.ini2 C:\WINDOWS\system32\ddcdb.dll C:\WINDOWS\system32\ddcdb.exe

Code

C:\Dokumente und Einstellungen\Jessica Oelhaf\Desktop\Dokumentation\ctfmon .exe ---> QooBox
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx .exe ---> QooBox
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched .exe ---> QooBox
C:\Programme\phonostar\ps_timer .exe ---> QooBox
. . ((((((((((((((((((((((( Dateien erstellt von 2007-12-23 bis 2008-01-23 )))))))))))))))))))))))))))))) . 2008-01-23 15:58 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe 2008-01-23 13:26 . 2008-01-23 14:03 10,624 --a------ C:\WINDOWS\system32\drivers\pxark.sys 2008-01-23 13:14 . 2008-01-23 13:14 1,066,176 --a------ C:\WINDOWS\system32\MSCOMCTL.OCX 2008-01-23 01:16 . 2008-01-23 01:16 2,351,375 --------- C:\configs.tbz 2008-01-23 01:15 . 2008-01-23 01:15 660 --------- C:\knoppix.sh 2008-01-22 22:15 . 2008-01-22 22:16
d-------- C:\Programme\Nero 2008-01-22 22:15 . 2008-01-22 22:16
d-------- C:\Programme\Gemeinsame Dateien\Nero 2008-01-22 22:15 . 2006-03-17 11:45 1,757,184 --a------ C:\WINDOWS\system32\imagX7.dll 2008-01-22 22:15 . 2006-03-17 11:45 802,816 --a------ C:\WINDOWS\system32\imagXRA7.dll 2008-01-22 22:15 . 2006-03-17 11:45 497,296 --a------ C:\WINDOWS\system32\imagXpr7.dll 2008-01-22 22:15 . 2006-03-17 14:49 368,640 --a------ C:\WINDOWS\system32\TwnLib4.dll 2008-01-22 22:15 . 2006-03-17 11:45 258,048 --a------ C:\WINDOWS\system32\imagXR7.dll 2008-01-22 19:28 . 2008-01-22 19:28
d-------- C:\Programme\Lavasoft 2008-01-22 19:27 . 2008-01-22 19:27
d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-01-18 16:53 . 2008-01-18 16:53
d--h----- C:\WINDOWS\system32\GroupPolicy 2008-01-18 16:51 . 2006-11-01 12:48 20,480 --a------ C:\WINDOWS\system32\WLTRYSVC.EXE 2008-01-14 23:28 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-01-14 23:23 . 2008-01-14 23:24
d-------- C:\Programme\Vim 2008-01-14 19:56 . 2008-01-17 18:20 1,392,640 --a------ C:\WINDOWS\system32\WLTRAY .exe 2008-01-14 13:14 . 2008-01-14 22:28
d-------- C:\Python25 2008-01-14 13:10 . 2008-01-14 13:10
d--h----- C:\WINDOWS\PIF 2008-01-14 13:09 . 2008-01-14 13:09
d-------- C:\Programme\Smart Projects 2008-01-13 19:09 . 2008-01-13 21:52
d-------- C:\Programme\DOSBox-0.70 2008-01-13 17:56 . 2008-01-13 17:56 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-01-13 17:56 . 2008-01-13 17:56 1,409 --a------ C:\WINDOWS\QTFont.for 2008-01-13 17:34 . 2008-01-14 21:38
d-------- C:\Programme\Bluefish Games 2008-01-13 04:02 . 2008-01-13 21:48
d-------- C:\Programme\faery 2008-01-12 20:31 . 2008-01-12 20:31 0 --ah----- C:\WINDOWS\SwSys2.bmp 2008-01-12 20:31 . 2008-01-12 20:31 0 --ah----- C:\WINDOWS\SwSys1.bmp 2007-12-29 22:13 . 2007-12-29 22:13
d-------- C:\Programme\K-Lite Codec Pack 2007-12-29 21:16 . 2007-12-29 21:20
d-------- C:\WINDOWS\system32\quicktime 2007-12-26 23:47 . 2007-12-27 00:55
d-------- C:\LION 2007-12-26 21:10 . 2007-12-26 21:12
d-------- C:\Programme\ICQ6 2007-12-25 15:33 . 2007-12-25 15:33
d-------- C:\WINDOWS\Sun 2007-12-25 02:53 . 2007-12-25 02:53
d-------- C:\Programme\VideoLAN . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-23 15:07 --------- d-----w C:\Programme\QuickTime 2008-01-23 15:07 --------- d-----w C:\Programme\phonostar 2008-01-14 22:42 --------- d-----w C:\Programme\Free Download Manager 2008-01-14 22:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-01-14 22:28 --------- d-----w C:\Programme\Sun 2008-01-14 22:27 --------- d-----w C:\Programme\Java 2008-01-10 19:50 --------- d-----w C:\Programme\WinUAE 2007-12-29 21:11 --------- d-----w C:\Programme\DivX 2007-12-26 20:11 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-12-21 18:05 --------- d-----w C:\Programme\Power MP3 WMA Converter 2007-12-20 22:32 --------- d-----w C:\Programme\Audacity 2007-12-20 22:20 --------- d-----w C:\Programme\Apple Software Update 2007-12-20 19:43 --------- d-----w C:\Programme\Azureus 2007-12-20 18:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Java 2007-12-18 09:37 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2007-12-18 09:37 --------- d-----w C:\Programme\Dell 2007-12-17 21:41 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared 2007-12-17 21:41 --------- d-----w C:\Programme\Gemeinsame Dateien\Real 2007-12-17 21:40 --------- d-----w C:\Programme\Real 2007-12-17 20:46 --------- d-----w C:\Programme\ATI Technologies 2007-12-17 20:27 --------- d-----w C:\Programme\SigmaTel 2007-12-17 19:33 --------- d-----w C:\Programme\Winamp 2007-12-17 19:23 --------- d-----w C:\Programme\Last.fm 2007-12-17 19:14 --------- d-----w C:\Programme\Sophos 2007-12-17 19:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Cisco Systems 2007-12-17 14:55 --------- d--h--w C:\Programme\Uninstall Information 2007-12-17 14:49 --------- d-----w C:\Programme\microsoft frontpage 2007-12-17 14:46 --------- d-----w C:\Programme\Online-Dienste 2007-12-17 14:45 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap 2007-12-17 14:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste 2007-12-17 14:33 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines 2007-12-17 14:33 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC .

Code

----a-w            40,048 2008-01-17 17:20:35  C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl .exe
----a-w           132,496 2008-01-17 17:20:32  C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
----a-w         1,392,640 2008-01-17 17:20:31  C:\WINDOWS\system32\WLTRAY .exe
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Broadcom Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY.exe" [ ] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [ ] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [ ] "QuickTime Task"="C:\Programme\QuickTime\QTTask .exe" [ ] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [ ] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360] C:\Dokumente und Einstellungen\Jessica Oelhaf\Startmenチ\Programme\Autostart\ Last.fm Helper.lnk - C:\Programme\Last.fm\LastFMHelper.exe [2007-12-17 20:23:15 106496] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=c:\PROGRA~1\Sophos\SOPHOS~1\detoured.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService] @="service" R1 SAVOnAccessControl;SAVOnAccessControl;C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys [2007-09-10 12:09] R1 SAVOnAccessFilter;SAVOnAccessFilter;C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys [2007-09-10 12:08] S3 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-01-23 14:03] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-23 16:10:54 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** .
Seitenanfang Seitenende
23.01.2008, 18:33
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#13 GreyLady

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

KILLALL::

File::
C:\WINDOWS\system32\bdcdd.ini
C:\WINDOWS\system32\bdcdd.ini2
C:\WINDOWS\system32\ddcdb.dll
C:\WINDOWS\system32\ddcdb.exe
CFScript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


wende Combofix noch mal an - tippe 1 - dann poste den neuen Report
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
24.01.2008, 15:50
GreyLady
Member

Themenstarter

Beiträge: 14
#14 Hier das neue Logfile:

ComboFix 08-01-23.2 - Jessica Oelhaf 2008-01-24 15:37:45.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.259 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Jessica Oelhaf\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Jessica Oelhaf\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] FILE C:\WINDOWS\system32\bdcdd.ini C:\WINDOWS\system32\bdcdd.ini2 C:\WINDOWS\system32\ddcdb.dll C:\WINDOWS\system32\ddcdb.exe . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . .

---- Previous Run ------- .

C:\Dokumente und Einstellungen\Jessica Oelhaf\Desktop\Dokumentation\ctfmon .exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx .exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched .exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\phonostar\ps_timer .exe C:\Programme\phonostar\ps_timer.exe
C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe
C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe
C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe
C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe
C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe
C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask .exe
C:\Programme\QuickTime\QTTask .exe C:\Programme\QuickTime\QTTask.exe
C:\WINDOWS\system32\bdcdd.ini
C:\WINDOWS\system32\bdcdd.ini2
C:\WINDOWS\system32\ddcdb.dll
C:\WINDOWS\system32\ddcdb.exe

Code

C:\Dokumente und Einstellungen\Jessica Oelhaf\Desktop\Dokumentation\ctfmon .exe ---> QooBox
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx .exe ---> QooBox
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched .exe ---> QooBox
C:\Programme\phonostar\ps_timer .exe ---> QooBox

. . ((((((((((((((((((((((( Dateien erstellt von 2007-12-24 bis 2008-01-24 )))))))))))))))))))))))))))))) . 2008-01-23 22:57 . 2008-01-23 23:01 69 --a------

C:\WINDOWS\NeroDigital.ini 2008-01-23 15:58 . 2000-08-31 08:00 51,200 --a------
C:\WINDOWS\Nircmd.exe 2008-01-23 13:14 . 2008-01-23 13:14 1,066,176 --a------
C:\WINDOWS\system32\MSCOMCTL.OCX 2008-01-23 01:16 . 2008-01-23 01:16 2,351,375 ---------
C:\configs.tbz 2008-01-23 01:15 . 2008-01-23 01:15 660 --------- C:\knoppix.sh 2008-01-22 22:15 . 2008-01-22 22:16

d-------- C:\Programme\Nero 2008-01-22 22:15 . 2008-01-22 22:16
d-------- C:\Programme\Gemeinsame Dateien\Nero 2008-01-22 22:15 .
2006-03-17 11:45 1,757,184 --a------
C:\WINDOWS\system32\imagX7.dll 2008-01-22 22:15 . 2006-03-17 11:45 802,816 --a------ C:\WINDOWS\system32\imagXRA7.dll 2008-01-22 22:15 . 2006-03-17 11:45 497,296 --a------ C:\WINDOWS\system32\imagXpr7.dll 2008-01-22 22:15 . 2006-03-17 14:49 368,640 --a------ C:\WINDOWS\system32\TwnLib4.dll 2008-01-22 22:15 . 2006-03-17 11:45 258,048 --a------ C:\WINDOWS\system32\imagXR7.dll 2008-01-22 19:28 . 2008-01-22 19:28
d-------- C:\Programme\Lavasoft 2008-01-22 19:27 . 2008-01-22 19:27
d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-01-18 16:53 . 2008-01-18 16:53
d--h----- C:\WINDOWS\system32\GroupPolicy 2008-01-18 16:51 . 2006-11-01 12:48 20,480 --a------ C:\WINDOWS\system32\WLTRYSVC.EXE 2008-01-14 23:28 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-01-14 23:23 . 2008-01-14 23:24
d-------- C:\Programme\Vim 2008-01-14 19:56 . 2008-01-17 18:20 1,392,640 --a------ C:\WINDOWS\system32\WLTRAY .exe 2008-01-14 13:14 . 2008-01-14 22:28
d-------- C:\Python25 2008-01-14 13:10 . 2008-01-14 13:10
d--h----- C:\WINDOWS\PIF 2008-01-14 13:09 . 2008-01-14 13:09
d-------- C:\Programme\Smart Projects 2008-01-13 19:09 . 2008-01-13 21:52
d-------- C:\Programme\DOSBox-0.70 2008-01-13 17:56 . 2008-01-13 17:56 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-01-13 17:56 . 2008-01-13 17:56 1,409 --a------ C:\WINDOWS\QTFont.for 2008-01-13 17:34 . 2008-01-14 21:38
d-------- C:\Programme\Bluefish Games 2008-01-13 04:02 . 2008-01-13 21:48
d-------- C:\Programme\faery 2008-01-12 20:31 . 2008-01-12 20:31 0 --ah----- C:\WINDOWS\SwSys2.bmp 2008-01-12 20:31 . 2008-01-12 20:31 0 --ah----- C:\WINDOWS\SwSys1.bmp 2007-12-29 22:13 . 2007-12-29 22:13
d-------- C:\Programme\K-Lite Codec Pack 2007-12-29 21:16 . 2007-12-29 21:20
d-------- C:\WINDOWS\system32\quicktime 2007-12-26 23:47 . 2007-12-27 00:55
d-------- C:\LION 2007-12-26 21:10 . 2007-12-26 21:12
d-------- C:\Programme\ICQ6 2007-12-25 15:33 . 2007-12-25 15:33
d-------- C:\WINDOWS\Sun 2007-12-25 02:53 . 2007-12-25 02:53
d-------- C:\Programme\VideoLAN . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-23 15:07 --------- d-----w C:\Programme\QuickTime 2008-01-23 15:07 --------- d-----w C:\Programme\phonostar 2008-01-14 22:42 --------- d-----w C:\Programme\Free Download Manager 2008-01-14 22:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-01-14 22:28 --------- d-----w C:\Programme\Sun 2008-01-14 22:27 --------- d-----w C:\Programme\Java 2008-01-10 19:50 --------- d-----w C:\Programme\WinUAE 2007-12-29 21:11 --------- d-----w C:\Programme\DivX 2007-12-26 20:11 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-12-21 18:05 --------- d-----w C:\Programme\Power MP3 WMA Converter 2007-12-20 22:32 --------- d-----w C:\Programme\Audacity 2007-12-20 22:20 --------- d-----w C:\Programme\Apple Software Update 2007-12-20 19:43 --------- d-----w C:\Programme\Azureus 2007-12-20 18:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Java 2007-12-18 09:37 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2007-12-18 09:37 --------- d-----w C:\Programme\Dell 2007-12-17 21:41 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared 2007-12-17 21:41 --------- d-----w C:\Programme\Gemeinsame Dateien\Real 2007-12-17 21:40 --------- d-----w C:\Programme\Real 2007-12-17 20:46 --------- d-----w C:\Programme\ATI Technologies 2007-12-17 20:27 --------- d-----w C:\Programme\SigmaTel 2007-12-17 19:33 --------- d-----w C:\Programme\Winamp 2007-12-17 19:23 --------- d-----w C:\Programme\Last.fm 2007-12-17 19:14 --------- d-----w C:\Programme\Sophos 2007-12-17 19:13 --------- d-----w C:\Programme\Gemeinsame Dateien\Cisco Systems 2007-12-17 14:55 --------- d--h--w C:\Programme\Uninstall Information 2007-12-17 14:49 --------- d-----w C:\Programme\microsoft frontpage 2007-12-17 14:46 --------- d-----w C:\Programme\Online-Dienste 2007-12-17 14:45 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap 2007-12-17 14:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste 2007-12-17 14:33 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines 2007-12-17 14:33 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC .

Code

----a-w            40,048 2008-01-17 17:20:35  C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl .exe
----a-w           132,496 2008-01-17 17:20:32  C:\Programme\Java\jre1.6.0_03\bin\jusched .exe
----a-w         1,392,640 2008-01-17 17:20:31  C:\WINDOWS\system32\WLTRAY .exe
((((((((((((((((((((((((((((( snapshot@2008-01-23_16.13.05.19 ))))))))))))))))))))))))))))))))))))))))) . - 2008-01-23 14:59:20 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT + 2008-01-24 14:37:15 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT - 2008-01-23 14:59:20 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat + 2008-01-24 14:37:15 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat - 2008-01-23 14:59:21 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT + 2008-01-24 14:37:15 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT - 2008-01-23 14:59:21 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat + 2008-01-24 14:37:16 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat - 2008-01-23 14:59:22 3,977,216 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT + 2008-01-24 14:37:16 4,046,848 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT - 2008-01-23 14:59:23 196,608 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat + 2008-01-24 14:37:16 196,608 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Broadcom Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY.exe" [ ] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [ ] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [ ] "QuickTime Task"="C:\Programme\QuickTime\QTTask .exe" [ ] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [ ] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360] C:\Dokumente und Einstellungen\Jessica Oelhaf\Startmenチ\Programme\Autostart\ Last.fm Helper.lnk - C:\Programme\Last.fm\LastFMHelper.exe [2007-12-17 20:23:15 106496] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=c:\PROGRA~1\Sophos\SOPHOS~1\detoured.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAVService] @="service" R1 SAVOnAccessControl;SAVOnAccessControl;C:\WINDOWS\system32\DRIVERS\savonaccesscontrol.sys [2007-09-10 12:09] R1 SAVOnAccessFilter;SAVOnAccessFilter;C:\WINDOWS\system32\DRIVERS\savonaccessfilter.sys [2007-09-10 12:08] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-24 15:43:11 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** .
Seitenanfang Seitenende
24.01.2008, 16:06
Pinguin
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#15 wende renv.exe an - poste das Log (noch nix weiter machen , nur das log posten, bitte)
http://www.virus-protect.org/artikel/tools/renvexe.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12