Brauche dringed euren Rat - TR/VB.agt.4 Trojaner...

#0
30.03.2008, 14:04
...neu hier

Beiträge: 4
#1 Hallo, also ich brauche dringend eure Hilfe, habe gerade mal nach einiger Zeit mal wieder Antivir auf meinem Laptop (Windows XP, SP2)installiert und bekomme jetzt die Meldung, dass die Datei cftmon.exe von einem Trojaner befallen ist, bzw. einer ist. Jedoch bekomm ich den über Antivir nicht weg.

Ich bin ein totaler Anfänger auf diesem Gebiet. Was mach ich denn nur mit dem Vieh?
Seitenanfang Seitenende
30.03.2008, 14:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,

wende bitte combofix an + poste hier den Report
http://www.virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.03.2008, 15:05
...neu hier

Themenstarter

Beiträge: 4
#3 Oh sorry, hier der Log von combofix - (hab vorher noch n kompletten Systemscan mit Antivir gemacht)

--------------

ComboFix 08-03-30.2 - Jan 2008-03-30 14:58:52.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.202 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Jan\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\Programme\uusee
C:\Programme\uusee\uninst.exe
C:\WINDOWS\system32\lsprst7.dll
C:\WINDOWS\system32\nsprs.dll
C:\WINDOWS\system32\serauth1.dll
C:\WINDOWS\system32\serauth2.dll
C:\WINDOWS\system32\ssprs.dll
G:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-30 ))))))))))))))))))))))))))))))
.

2008-03-30 13:54 . 2008-03-30 13:54 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-03-30 13:48 . 2008-03-30 13:48 <DIR> d-------- C:\Programme\Avira
2008-03-30 13:48 . 2008-03-30 13:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-23 18:50 . 2008-03-23 18:50 <DIR> d-------- C:\Programme\SopCast
2008-03-16 18:09 . 2008-03-16 18:10 <DIR> d-------- C:\WINDOWS\system32\PPLive
2008-03-13 01:35 . 2008-03-13 01:35 <DIR> d-------- C:\Programme\PDFCreator Toolbar
2008-03-13 01:35 . 2008-03-13 01:35 253,116 --a------ C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_328.exe
2008-03-13 01:35 . 2008-03-13 01:35 14,852 --a------ C:\Programme\settings.dat
2008-03-13 01:34 . 2008-03-13 01:34 <DIR> d-------- C:\Programme\PDFCreator
2008-03-13 01:34 . 2005-10-15 12:32 196,608 --a------ C:\WINDOWS\system32\pdfcmnnt.dll
2008-03-13 01:34 . 1998-07-06 17:55 158,208 --a------ C:\WINDOWS\system32\MSCMCDE.DLL
2008-03-13 01:34 . 1998-06-24 00:00 137,000 --a------ C:\WINDOWS\system32\MSMAPI32.OCX
2008-03-13 01:34 . 1998-07-06 17:56 125,712 --a------ C:\WINDOWS\system32\VB6DE.DLL
2008-03-13 01:34 . 1998-07-06 17:55 64,512 --a------ C:\WINDOWS\system32\MSCC2DE.DLL
2008-03-13 01:34 . 1998-07-06 00:00 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL
2008-03-06 14:06 . 2008-03-06 14:06 <DIR> d-------- C:\Programme\Citrix
2008-03-06 14:06 . 2008-03-06 14:06 <DIR> d-------- C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\ICAClient
2008-02-15 14:58 . 2008-02-15 14:58 <DIR> d--hs---- C:\FOUND.006
2008-02-12 19:45 . 2008-02-12 19:45 <DIR> d--hs---- C:\FOUND.005
2008-02-10 12:02 . 2008-02-10 12:02 <DIR> d--hs---- C:\FOUND.004
2008-02-05 11:25 . 2008-02-05 11:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Deterministic Networks
2008-02-05 11:25 . 2008-02-05 11:25 <DIR> d-------- C:\Programme\Cisco Systems
2008-02-05 11:25 . 2008-02-05 11:25 1,594 --a------ C:\WINDOWS\VPNInstall.MIF
2008-02-05 11:02 . 2006-05-10 11:15 1,929,216 --a------ C:\WINDOWS\system32\cdintf250.dll
2008-02-05 11:02 . 2008-02-05 11:02 1,024 --a------ C:\WINDOWS\system32\clauth2.dll
2008-02-05 11:02 . 2008-02-05 11:02 1,024 --a------ C:\WINDOWS\system32\clauth1.dll
2008-02-05 11:02 . 2008-02-05 13:56 14 --a------ C:\WINDOWS\system32\ssprs.tgz
2008-02-05 11:02 . 2008-02-05 11:02 0 --a------ C:\WINDOWS\system32\nsprs.tgz
2008-02-05 10:59 . 2008-02-05 10:59 <DIR> d-------- C:\Programme\SPSS
2008-02-05 10:59 . 2008-02-05 10:59 1,025 --a------ C:\WINDOWS\system32\sysprs7.tgz
2008-02-05 10:59 . 2008-02-05 10:59 1,025 --a------ C:\WINDOWS\system32\sysprs7.dll
2008-02-05 10:59 . 2008-02-05 13:56 219 --a------ C:\WINDOWS\system32\lsprst7.tgz
2008-02-05 10:59 . 2008-02-05 13:57 16 ---h----- C:\WINDOWS\system32\servdat.slm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-29 15:38 44,925,366 ------w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-02-11 14:52 45,640 ----a-w C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-18 08:51 179,584 ----a-w C:\WINDOWS\system32\dllcache\mrxdav.sys
2007-12-07 13:36 3,080,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-12-06 12:07 18,432 ----a-w C:\WINDOWS\system32\dllcache\iedw.exe
2007-12-04 17:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
2007-12-04 17:40 550,912 ----a-w C:\WINDOWS\system32\dllcache\oleaut32.dll
2007-11-16 11:16 43,251 ------w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_11_16_13_14_18_small.dmp.zip
2007-11-16 11:16 38,302 ------w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_11_16_13_14_12_small.dmp.zip
2007-11-09 14:11 685,648 ----a-w C:\Programme\mozilla firefox\plugins\sslsdk_b.dll
2007-11-09 14:10 34,384 ----a-w C:\Programme\mozilla firefox\plugins\logging.dll
2007-11-09 14:10 50,768 ----a-w C:\Programme\mozilla firefox\plugins\icalogon.dll
2007-11-09 14:10 42,576 ----a-w C:\Programme\mozilla firefox\plugins\icafile.dll
2007-11-09 14:10 140,880 ----a-w C:\Programme\mozilla firefox\plugins\ctxmui.dll
2007-11-09 14:10 75,344 ----a-w C:\Programme\mozilla firefox\plugins\confmgr.dll
2007-11-09 14:10 30,288 ----a-w C:\Programme\mozilla firefox\plugins\cgpcfg.dll
2007-11-09 14:11 30,288 ----a-w C:\Programme\mozilla firefox\plugins\TcpPServ.dll
2007-11-09 14:10 79,440 ----a-w C:\Programme\mozilla firefox\plugins\CgpCore.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-02-08 10:36 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-02-08 10:32 126976]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-07 23:44 98394]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-07 23:43 688218]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 01:07 32768]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 05:00 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:00 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00 455168]
"EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-03-28 18:04 188416]
"ePowerManagement"="C:\Acer\ePM\ePM.exe" [2005-03-24 09:13 2880512]
"LManager"="C:\Programme\Launch Manager\QtZgAcer.EXE" [2005-03-28 12:20 319488]
"eRecoveryService"="C:\Windows\System32\Check.exe" [2005-03-23 10:01 245760]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-26 18:14 36975]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2005-11-15 00:51 755472]
"EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.exe" [2005-02-08 06:00 98304]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-30 13:57 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 05:00 15360]

C:\Dokumente und Einstellungen\Jan\Startmen\Programme\Autostart\
Notmad Manager.lnk - C:\Programme\Red Chair Software\Notmad Explorer\notmgr.exe [2003-06-20 06:29:07 585216]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
VPN Client.lnk - C:\WINDOWS\Installer\{871DF2BE-41D2-4334-AC33-839AF16FC8FE}\Icon3E5562ED7.ico [2008-02-05 11:25:53 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2068:TCP"= 2068:TCP:ppLive
"2023:UDP"= 2023:UDP:ppLive
"2998:TCP"= 2998:TCP:ppLive
"2514:UDP"= 2514:UDP:ppLive
"2587:TCP"= 2587:TCP:ppLive
"2542:UDP"= 2542:UDP:ppLive
"4366:TCP"= 4366:TCP:ppLive
"5419:UDP"= 5419:UDP:ppLive
"8017:TCP"= 8017:TCP:ppLive
"8851:UDP"= 8851:UDP:ppLive

R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 13:10]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2005-03-24 16:54]
R3 int15.sys;int15.sys;C:\Programme\acer\eRecovery\int15.sys [2005-01-13 14:46]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{020b275e-c41b-11dc-b539-00c09fa9b712}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
\Shell\Open(&0)\command - F:\Recycled\ctfmon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1744e118-fb76-11dc-b5f7-00c09fa9b712}]
\Shell\AutoRun\command - F:\wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18cb330c-9dbb-11dc-b4db-00c09fa9b712}]
\Shell\AutoRun\command - F:\setupSNK.exe

*Newly Created Service* - ANTIVIRSCHEDULER
*Newly Created Service* - ANTIVIRSERVICE
*Newly Created Service* - AVGIO
*Newly Created Service* - AVGNTFLT
*Newly Created Service* - AVIPBB
*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-30 15:01:09
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-30 15:01:31
ComboFix-quarantined-files.txt 2008-03-30 13:01:28
14 Verzeichnis(se), 2,949,545,984 Bytes frei
23 Verzeichnis(se), 2,944,598,016 Bytes frei
.
2008-03-17 23:12:11 --- E O F ---
Seitenanfang Seitenende
30.03.2008, 19:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo,

«
Gehe in die Registry
Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001 - in 0 ändern
"UpdatesDisableNotify"=dword:00000001 - in 0 ändern

««
scanne mit Sdfix - funktioniert nur im abgesicherten modus.
poste nach neustart den report
http://www.virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.03.2008, 20:06
...neu hier

Themenstarter

Beiträge: 4
#5 Erstmal Danke Sabina für die schnelle Hilfe - nur mal ne Frage zum dem Registry Eintrag - wie änder ich den denn? Also ich hab den schon gefunden, aber muss ich die Binärdaten ändern? Und soll ich nur die 1 in eine Null ändern, oder die ganze Zahlenreihe?

Vielen Dank schonmal - hoffe ich komm nicht total bescheuert rüber...
Seitenanfang Seitenende
30.03.2008, 20:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 rechtsklick auf den Eintrag "AntiVirusDisableNotify"



die 1 wegklicken und 0 reinschreiben, dann abspeichern


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.03.2008, 21:07
...neu hier

Themenstarter

Beiträge: 4
#7 Also hab Sdfix durchlaufen lassen - soll ich die Reg Einträge wieder zurückändern?


--------------------------------------


SDFix: Version 1.164

Run by Jan on 30.03.2008 at 20:57

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\antiv.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-30 21:02:15
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL"
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL"
"C:\\Programme\\AOL 9.0\\waol.exe"="C:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 6 Apr 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK7.dll"
Thu 15 Dec 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
Wed 6 Apr 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTIMP3.dll"
Wed 6 Apr 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTIFCD3.dll"
Wed 6 Apr 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTIBUN4.dll"
Wed 25 Oct 2006 20,480 A.SH. --- "C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP660\A0109963.exe"
Wed 25 Oct 2006 20,480 A.SH. --- "C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP660\A0109964.exe"
Wed 11 Jul 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Tue 3 Oct 2006 50,280 ...H. --- "C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe"
Tue 19 Jul 2005 122,368 A..H. --- "C:\Dokumente und Einstellungen\Jan\Eigene Dateien\Uni\S Seminar Automobil\~WRL0004.tmp"
Sun 12 Jun 2005 58,368 A..H. --- "C:\Dokumente und Einstellungen\Jan\Eigene Dateien\Uni\PBSF im Hauptstudium\~WRL0002.tmp"
Thu 21 Feb 2008 129,536 ...H. --- "C:\Dokumente und Einstellungen\Jan\Eigene Dateien\Uni\Diplomarbeit\~WRL3766.tmp"
Thu 7 Feb 2008 41,984 ...H. --- "C:\Dokumente und Einstellungen\Jan\Eigene Dateien\Uni\Diplomarbeit\~WRL2119.tmp"
Thu 7 Feb 2008 51,200 ...H. --- "C:\Dokumente und Einstellungen\Jan\Eigene Dateien\Uni\Diplomarbeit\~WRL1641.tmp"
Fri 17 Jun 2005 128,512 A..H. --- "C:\Dokumente und Einstellungen\Jan\Eigene Dateien\Uni\PBSF im Hauptstudium\PBSF fertig\~WRL0066.tmp"

Finished!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: