Home » Spyware & Browser Hijacker Support Forum » Trojan 'SystemDefender' mit Combofix gekillt » Themenansicht

Trojan 'SystemDefender' mit Combofix gekillt

Thema ist geschlossen!
Thema ist geschlossen!
#0
06.03.2008, 18:08
gms
Member

Beiträge: 18
#1 TrendMicro Office Scan hat mehrere Trojans gefunden. Gleichzeitig poppen mehrfach IE Fenster auf und verlangen eine Bestaetigung, dass ich ein Programm namens Systemdefender installieren soll.

HijackThis hat nichts gefunden. ComboFix hat offenbar das Problem geloest. In der ComboFix Anleitung steht, dass man den Logfile trotzdem hier posten soll - nur um sicher zu gehen. Ausserdem weiss ich nicht, was ich mit den beiden Dateien machen soll, die ComboFix im root erstellt hat (CF14245.exe und CF13304.exe). Anbei die Logfiles von Hijackthis und Combofix. Danke fuer die Hilfe!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:17:38, on 04.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\progra~1\vision~1\paperp~1\pptd40nt.exe
C:\Programme\OfficeScan NT\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Bluetooth Software\BTTray.exe
C:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\HAUPPA~1\MediaMVP\MVPStart.exe
C:\PROGRA~1\HAUPPA~1\MediaMVP\Hardware\DglSvcMain.exe
C:\Programme\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\OfficeScan NT\tmlisten.exe
C:\PROGRA~1\HAUPPA~1\MediaMVP\Hardware\HcwSms.exe
C:\Programme\OfficeScan NT\OfcPfwSvc.exe
C:\WINDOWS\TEMP\PQ750E.EXE
C:\Programme\internet explorer\iexplore.exe
C:\Programme\OfficeScan NT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Daten/Internet/WWW/todo.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\vision~1\paperp~1\pptd40nt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Windows-Explorer.lnk = C:\WINDOWS\explorer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: EXIT VIRUS SCANNER.lnk = C:\no_pwd.bat
O8 - Extra context menu item: Add to MVP Favorite Radio Stations - C:\Programme\Hauppauge\MediaMVP\mvp.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: SetupRom - {2ee4179c-4cc1-4876-a688-d0055c5388b3} - C:\WINDOWS\Installer\{2ee4179c-4cc1-4876-a688-d0055c5388b3}\SetupRom.dll
O21 - SSODL: zip - {8d4bb870-bc37-462a-8306-37bd1471f14b} - C:\WINDOWS\Installer\{8d4bb870-bc37-462a-8306-37bd1471f14b}\zip.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Bluetooth Software\bin\btwdins.exe
O23 - Service: Icmcipcsacw - Unknown owner - C:\WINDOWS\System32\append.exe
O23 - Service: MVPMedia - Hauppauge Computer Works - C:\PROGRA~1\HAUPPA~1\MediaMVP\MVPStart.exe
O23 - Service: MVPMediaSvc - Hauppauge Computer Works, Inc. - C:\PROGRA~1\HAUPPA~1\MediaMVP\Hardware\DglSvcMain.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\OfficeScan NT\ntrtscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\OfficeScan NT\tmlisten.exe

--
End of file - 5156 bytes

ComboFix 08-03-04.3 - Gerhard 2008-03-04 20:41:15.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.418 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Gerhard\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\SystemDefender
C:\WINDOWS\Fonts\acrsecB.fon
C:\WINDOWS\smdat32a.sys
C:\WINDOWS\smdat32m.sys

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-04 bis 2008-03-04 ))))))))))))))))))))))))))))))
.

2008-03-04 20:37 . 2004-08-04 00:57 401,408 --a------ C:\CF14245.exe
2008-03-04 20:32 . 2004-08-04 00:57 401,408 --a------ C:\CF13304.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-04 19:23 --------- d-----w C:\Programme\OfficeScan NT
2008-03-03 19:57 99 ----a-w C:\no_pwd.bat
2008-03-03 17:48 --------- d-----w C:\Programme\ProgDVB
2008-03-02 12:45 --------- d-----w C:\Programme\eMule
2007-12-07 01:06 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
2004-02-26 22:36 65,160 -c--a-w C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2003-03-27 18:06 64,768 -c--a-w C:\Dokumente und Einstellungen\Iris\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"Microsoft Works Update Detection"="C:\Programme\Microsoft Works\WkDetect.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run]
"C-Media Mixer"="Mixer.exe" [2001-11-15 11:08 1216512 C:\WINDOWS\mixer.exe]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"Tweak UI"="TWEAKUI.CPL" [1996-10-09 15:20 59904 C:\WINDOWS\system32\TWEAKUI.CPL]
"PaperPort PTD"="c:\progra~1\vision~1\paperp~1\pptd40nt.exe" [1999-04-13 02:13 29184]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-02 14:19 4640768]
"nwiz"="nwiz.exe" [2003-05-02 14:19 323584 C:\WINDOWS\system32\nwiz.exe]
"OfficeScanNT Monitor"="C:\Programme\OfficeScan NT\pccntmon.exe" [2005-08-31 14:21 335872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersio n\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\Gerhard\Startmenü\Programme\Autostart\
Windows-Explorer.lnk - C:\WINDOWS\explorer.exe [2007-03-13 13:16:34 1036288]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2003-11-21 21:20:28 113664]
BTTray.lnk - C:\Programme\Bluetooth Software\BTTray.exe [2005-08-24 14:06:54 577597]
EXIT VIRUS SCANNER.lnk - C:\no_pwd.bat [2004-11-28 23:48:56 99]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \ShellServiceObjectDelayLoad]
"SetupRom"= {2ee4179c-4cc1-4876-a688-d0055c5388b3} - C:\WINDOWS\Installer\{2ee4179c-4cc1-4876-a688-d0055c5388b3}\SetupRom.dll [2008-03-03 18:45 14374]
"zip"= {8d4bb870-bc37-462a-8306-37bd1471f14b} - C:\WINDOWS\Installer\{8d4bb870-bc37-462a-8306-37bd1471f14b}\zip.dll [2008-03-03 18:45 23230]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\stand ardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Quake3\\quake3.exe"=
"C:\\Programme\\Microsoft Games\\Combat Flight Simulator 3\\cfs3.exe"=

R2 MVPMedia;MVPMedia;C:\PROGRA~1\HAUPPA~1\MediaMVP\MVPStart.exe [2007-01-22 18:07]
R2 MVPMediaSvc;MVPMediaSvc;C:\PROGRA~1\HAUPPA~1\MediaMVP\Hardwa re\DglSvcMain.exe [2007-01-22 18:06]
R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys [2002-11-18 15:05]
R2 nvTUNEP;nVidia WDM TVTuner;C:\WINDOWS\system32\DRIVERS\nvtunep.sys [2002-11-18 15:05]
R2 nvtvSND;nVidia WDM TVAudio Crossbar;C:\WINDOWS\system32\DRIVERS\nvtvsnd.sys [2002-11-18 15:05]
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys [2002-11-18 15:05]
R3 ham50;V9X HAM 1394V;C:\WINDOWS\system32\DRIVERS\CTXH51.sys [2001-08-04 16:50]
R3 SAA7146n;TT DVB-PCI driver (SAA7146n);C:\WINDOWS\system32\DRIVERS\saa7146n.sys [2001-08-20 16:26]
R3 TTLOOPHE;Virtual DVB-S/-C/-T Network Adapter Driver;C:\WINDOWS\system32\DRIVERS\ttloophe.sys [2001-10-10 14:28]
S0 nevmzazh;nevmzazh;C:\WINDOWS\system32\drivers\vswzpvnv.dat []
S3 Icmcipcsacw;Icmcipcsacw;C:\WINDOWS\System32\append.exe [2001-08-18 13:00]
S3 RivaTuner;RivaTuner;C:\Tools\RivaTuner\RivaTuner.sys []
S3 RivaTunerEx;RivaTunerEx;C:\Tools\RivaTuner\RivaTunerEx.sys [2003-12-28 14:10]

.
Inhalt des "geplante Tasks" Ordners
"2008-02-16 21:50:00 C:\WINDOWS\Tasks\movefiles.job"
- C:\Temp\movefiles.bat
"2008-02-29 23:37:00 C:\WINDOWS\Tasks\poweroff.job"
- C:\WINDOWS\system32\poweroff.exe
"2007-04-04 18:09:40 C:\WINDOWS\Tasks\ProgDVB.job"
- C:\Programme\ProgDVB\ProgDVB.exe
.
************************************************************ **************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-04 20:43:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

************************************************************ **************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\nevmzazh]
"ImagePath"="system32\drivers\vswzpvnv.dat"
.
Zeit der Fertigstellung: 2008-03-04 20:44:17
ComboFix-quarantined-files.txt 2008-03-04 19:43:56
.
2008-02-17 00:20:06 --- E O F ---
Seitenanfang Seitenende
06.03.2008, 18:12
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Und jetzt? http://www.hijackthis-forum.de/showthread.php?p=182693
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1