Trojan 'SystemDefender' mit Combofix gekilltThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
06.03.2008, 18:08
Member
Beiträge: 18 |
||
|
||
06.03.2008, 18:12
Ehrenmitglied
Beiträge: 6028 |
||
|
HijackThis hat nichts gefunden. ComboFix hat offenbar das Problem geloest. In der ComboFix Anleitung steht, dass man den Logfile trotzdem hier posten soll - nur um sicher zu gehen. Ausserdem weiss ich nicht, was ich mit den beiden Dateien machen soll, die ComboFix im root erstellt hat (CF14245.exe und CF13304.exe). Anbei die Logfiles von Hijackthis und Combofix. Danke fuer die Hilfe!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:17:38, on 04.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\progra~1\vision~1\paperp~1\pptd40nt.exe
C:\Programme\OfficeScan NT\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Bluetooth Software\BTTray.exe
C:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\HAUPPA~1\MediaMVP\MVPStart.exe
C:\PROGRA~1\HAUPPA~1\MediaMVP\Hardware\DglSvcMain.exe
C:\Programme\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\OfficeScan NT\tmlisten.exe
C:\PROGRA~1\HAUPPA~1\MediaMVP\Hardware\HcwSms.exe
C:\Programme\OfficeScan NT\OfcPfwSvc.exe
C:\WINDOWS\TEMP\PQ750E.EXE
C:\Programme\internet explorer\iexplore.exe
C:\Programme\OfficeScan NT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Daten/Internet/WWW/todo.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\vision~1\paperp~1\pptd40nt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Windows-Explorer.lnk = C:\WINDOWS\explorer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: EXIT VIRUS SCANNER.lnk = C:\no_pwd.bat
O8 - Extra context menu item: Add to MVP Favorite Radio Stations - C:\Programme\Hauppauge\MediaMVP\mvp.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: SetupRom - {2ee4179c-4cc1-4876-a688-d0055c5388b3} - C:\WINDOWS\Installer\{2ee4179c-4cc1-4876-a688-d0055c5388b3}\SetupRom.dll
O21 - SSODL: zip - {8d4bb870-bc37-462a-8306-37bd1471f14b} - C:\WINDOWS\Installer\{8d4bb870-bc37-462a-8306-37bd1471f14b}\zip.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Bluetooth Software\bin\btwdins.exe
O23 - Service: Icmcipcsacw - Unknown owner - C:\WINDOWS\System32\append.exe
O23 - Service: MVPMedia - Hauppauge Computer Works - C:\PROGRA~1\HAUPPA~1\MediaMVP\MVPStart.exe
O23 - Service: MVPMediaSvc - Hauppauge Computer Works, Inc. - C:\PROGRA~1\HAUPPA~1\MediaMVP\Hardware\DglSvcMain.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\OfficeScan NT\ntrtscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\OfficeScan NT\tmlisten.exe
--
End of file - 5156 bytes
ComboFix 08-03-04.3 - Gerhard 2008-03-04 20:41:15.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.418 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Gerhard\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Programme\SystemDefender
C:\WINDOWS\Fonts\acrsecB.fon
C:\WINDOWS\smdat32a.sys
C:\WINDOWS\smdat32m.sys
.
((((((((((((((((((((((( Dateien erstellt von 2008-02-04 bis 2008-03-04 ))))))))))))))))))))))))))))))
.
2008-03-04 20:37 . 2004-08-04 00:57 401,408 --a------ C:\CF14245.exe
2008-03-04 20:32 . 2004-08-04 00:57 401,408 --a------ C:\CF13304.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-04 19:23 --------- d-----w C:\Programme\OfficeScan NT
2008-03-03 19:57 99 ----a-w C:\no_pwd.bat
2008-03-03 17:48 --------- d-----w C:\Programme\ProgDVB
2008-03-02 12:45 --------- d-----w C:\Programme\eMule
2007-12-07 01:06 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
2004-02-26 22:36 65,160 -c--a-w C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2003-03-27 18:06 64,768 -c--a-w C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"Microsoft Works Update Detection"="C:\Programme\Microsoft Works\WkDetect.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run]
"C-Media Mixer"="Mixer.exe" [2001-11-15 11:08 1216512 C:\WINDOWS\mixer.exe]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"Tweak UI"="TWEAKUI.CPL" [1996-10-09 15:20 59904 C:\WINDOWS\system32\TWEAKUI.CPL]
"PaperPort PTD"="c:\progra~1\vision~1\paperp~1\pptd40nt.exe" [1999-04-13 02:13 29184]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-02 14:19 4640768]
"nwiz"="nwiz.exe" [2003-05-02 14:19 323584 C:\WINDOWS\system32\nwiz.exe]
"OfficeScanNT Monitor"="C:\Programme\OfficeScan NT\pccntmon.exe" [2005-08-31 14:21 335872]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersio n\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
C:\Dokumente und Einstellungen\Gerhard\Startmenü\Programme\Autostart\
Windows-Explorer.lnk - C:\WINDOWS\explorer.exe [2007-03-13 13:16:34 1036288]
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-11-21 21:20:28 113664]
BTTray.lnk - C:\Programme\Bluetooth Software\BTTray.exe [2005-08-24 14:06:54 577597]
EXIT VIRUS SCANNER.lnk - C:\no_pwd.bat [2004-11-28 23:48:56 99]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \ShellServiceObjectDelayLoad]
"SetupRom"= {2ee4179c-4cc1-4876-a688-d0055c5388b3} - C:\WINDOWS\Installer\{2ee4179c-4cc1-4876-a688-d0055c5388b3}\SetupRom.dll [2008-03-03 18:45 14374]
"zip"= {8d4bb870-bc37-462a-8306-37bd1471f14b} - C:\WINDOWS\Installer\{8d4bb870-bc37-462a-8306-37bd1471f14b}\zip.dll [2008-03-03 18:45 23230]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\stand ardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Quake3\\quake3.exe"=
"C:\\Programme\\Microsoft Games\\Combat Flight Simulator 3\\cfs3.exe"=
R2 MVPMedia;MVPMedia;C:\PROGRA~1\HAUPPA~1\MediaMVP\MVPStart.exe [2007-01-22 18:07]
R2 MVPMediaSvc;MVPMediaSvc;C:\PROGRA~1\HAUPPA~1\MediaMVP\Hardwa re\DglSvcMain.exe [2007-01-22 18:06]
R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys [2002-11-18 15:05]
R2 nvTUNEP;nVidia WDM TVTuner;C:\WINDOWS\system32\DRIVERS\nvtunep.sys [2002-11-18 15:05]
R2 nvtvSND;nVidia WDM TVAudio Crossbar;C:\WINDOWS\system32\DRIVERS\nvtvsnd.sys [2002-11-18 15:05]
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys [2002-11-18 15:05]
R3 ham50;V9X HAM 1394V;C:\WINDOWS\system32\DRIVERS\CTXH51.sys [2001-08-04 16:50]
R3 SAA7146n;TT DVB-PCI driver (SAA7146n);C:\WINDOWS\system32\DRIVERS\saa7146n.sys [2001-08-20 16:26]
R3 TTLOOPHE;Virtual DVB-S/-C/-T Network Adapter Driver;C:\WINDOWS\system32\DRIVERS\ttloophe.sys [2001-10-10 14:28]
S0 nevmzazh;nevmzazh;C:\WINDOWS\system32\drivers\vswzpvnv.dat []
S3 Icmcipcsacw;Icmcipcsacw;C:\WINDOWS\System32\append.exe [2001-08-18 13:00]
S3 RivaTuner;RivaTuner;C:\Tools\RivaTuner\RivaTuner.sys []
S3 RivaTunerEx;RivaTunerEx;C:\Tools\RivaTuner\RivaTunerEx.sys [2003-12-28 14:10]
.
Inhalt des "geplante Tasks" Ordners
"2008-02-16 21:50:00 C:\WINDOWS\Tasks\movefiles.job"
- C:\Temp\movefiles.bat
"2008-02-29 23:37:00 C:\WINDOWS\Tasks\poweroff.job"
- C:\WINDOWS\system32\poweroff.exe
"2007-04-04 18:09:40 C:\WINDOWS\Tasks\ProgDVB.job"
- C:\Programme\ProgDVB\ProgDVB.exe
.
************************************************************ **************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-04 20:43:24
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
************************************************************ **************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\nevmzazh]
"ImagePath"="system32\drivers\vswzpvnv.dat"
.
Zeit der Fertigstellung: 2008-03-04 20:44:17
ComboFix-quarantined-files.txt 2008-03-04 19:43:56
.
2008-02-17 00:20:06 --- E O F ---