Mal wieder Trojaner Vundo und Crypt.xpack

#0
15.05.2008, 15:39
Member
Avatar Mangekyou

Beiträge: 19
#1 Hallo Leute bin eben auf mehrere Threads mit den gleichen Problemen gestoßen.
TR/Vundo.Gen legt bei mir alles lahm -.- es funktioniert nur sehr langsam und mit Antivir lässt er sich nicht löschen ... wäre echt nett wenn ihr mir helfen könntet.
Wie ich gesehen habe seit ihr damit ja sehr erfolgreich.
Mfg Mangekyou
__________
MfG Mangekyou
Seitenanfang Seitenende
15.05.2008, 17:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo Mangekyou

1.
lösche mit cleaner die temp-Dateien
http://www.ccleaner.de/?protecus.de

2.
scannre mit rvaxo + poste den report
http://virus-protect.org/artikel/tools/rvaxo.html

3.
scanne mit malwarebytes, lasse entfernen, was gefunden wird + poste den report hier
http://virus-protect.org/artikel/tools/malwarebytes.html

4.
wende combofix an + warnmeldung wegklicken + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.05.2008, 11:05
Member

Themenstarter
Avatar Mangekyou

Beiträge: 19
#3 Hi und sorry dass das so lange gedauert hat ;) so hier das Log von Rvaxo:

---RVAXO.exe Updated: 2008-05-20---first run---
Uninstallers:

Files found:
C:\WINDOWS\BMb78b62ea.xml
C:\WINDOWS\BMb78b62ea.txt
C:\WINDOWS\system32\gjlUBcdd.ini2
C:\WINDOWS\pskt.ini
C:\WINDOWS\index.html
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\sft.res
C:\WINDOWS\system32\sockins32.dll
C:\WINDOWS\system32\mcrh.tmp
C:\Dokumente und Einstellungen\Besitzer\FAVORI~1\Online Security Test.url

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------
__________
MfG Mangekyou
Seitenanfang Seitenende
20.05.2008, 11:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ««
scanne mit malwarebytes, lasse entfernen, was gefunden wird + poste den report hier
http://virus-protect.org/artikel/tools/malwarebytes.html

««
wende combofix an + warnmeldung wegklicken + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.05.2008, 11:52
Member

Themenstarter
Avatar Mangekyou

Beiträge: 19
#5 So der Log für Malwarebytes:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 768

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 87607
Scan Dauer: 37 minute(s), 55 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 18
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\ddcBUljg.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\WinNt32.dll (Trojan.Agent) -> Unloaded module successfully.
C:\WINDOWS\system32\byXOggda.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a983e41e-1552-4390-b0ca-4219c289e253} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a983e41e-1552-4390-b0ca-4219c289e253} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{66186f05-bbbb-4a39-864f-72d84615c679} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{66186f05-bbbb-4a39-864f-72d84615c679} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winnt32 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6bcc7f79-f0c1-4d41-a735-5fe8e69913e1} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6bcc7f79-f0c1-4d41-a735-5fe8e69913e1} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\byxoggda (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6bcc7f79-f0c1-4d41-a735-5fe8e69913e1} (Trojan.Vundo) -> Delete on reboot.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ddcbuljg -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ddcbuljg -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ddcBUljg.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\gjlUBcdd.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gjlUBcdd.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8229D842-0436-4B85-9D19-88FCC952CC4A}\RP477\A0131234.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\7CF28762C38CA0D4.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\AE8AB41F91F72503.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WinNt32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\wzghui.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\byXOggda.dll (Trojan.Vundo) -> Delete on reboot.

Mit Killassasine konnte ich nichts löschen, weil mir die Berechtigung fehlt ... aber ich bin der Admin, aber verschiedene Sachen wie ZB der Taskmanager sind gesperrt
__________
MfG Mangekyou
Dieser Beitrag wurde am 20.05.2008 um 11:57 Uhr von Mangekyou editiert.
Seitenanfang Seitenende
20.05.2008, 12:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 wende combofix an + warnmeldung wegklicken + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.05.2008, 13:30
Member

Themenstarter
Avatar Mangekyou

Beiträge: 19
#7 Combofix bereitet die Logdatei vor, dann steht da
Starte keine anderen Programme bevor Combofix fertig ist.

Aber dann gehts nicht weiter ... also es passiert seit 10 min nichts noch länger warten oder hat sich das Programm aufgehangen
__________
MfG Mangekyou
Seitenanfang Seitenende
20.05.2008, 13:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 wende otscanit an + poste den report (als Anhang ..siehe unten)
http://virus-protect.org/artikel/tools/otscanit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.05.2008, 14:03
Member

Themenstarter
Avatar Mangekyou

Beiträge: 19
#9 ok sry also ich war grad essen ... halbe Stunde und ich hab jetzt die Log Datei

Combofix :

ComboFix 08-05-19.4 - Besitzer 2008-05-20 13:18:32.8 - NTFSx86 MINIMAL
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\WinNt32.dll
.
---- Previous Run -------
.
C:\WINDOWS\system32\dmgjdclh.ini
C:\WINDOWS\system32\gjlUBcdd.ini
C:\WINDOWS\system32\hlcdjgmd.dll
C:\WINDOWS\system32\jrymppne.ini
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\wzghui.sys

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-20 bis 2008-05-20 ))))))))))))))))))))))))))))))
.

2008-05-20 12:03 . 2008-05-20 12:03 197 --a------ C:\WINDOWS\system32\MRT.INI
2008-05-20 11:25 . 2008-05-20 11:25 2,624 --a------ C:\WINDOWS\system32\gmfdspcd.exe
2008-05-20 11:06 . 2008-05-20 11:06 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-05-20 11:05 . 2008-05-20 11:06 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-20 11:05 . 2008-05-20 11:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-20 11:05 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-20 11:05 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-20 10:56 . 2008-05-20 11:00 <DIR> d-------- C:\RVAXO
2008-05-20 10:50 . 2008-05-20 06:42 824,759 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-05-20 10:50 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-05-20 10:44 . 2008-05-20 10:44 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-05-20 10:22 . 2008-05-20 10:22 <DIR> d-------- C:\Programme\CCleaner
2008-05-15 15:23 . 2008-05-15 15:23 19,286 --a------ C:\cleanup.exe
2008-05-14 23:03 . 2008-05-14 23:30 <DIR> d-------- C:\Programme\Enigma Software Group
2008-05-14 19:17 . 2008-05-14 19:17 <DIR> d-------- C:\Programme\CleanUp!
2008-05-14 16:14 . 2006-03-30 17:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-14 16:14 . 2006-03-30 18:09 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-05-14 16:14 . 2006-03-30 18:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-14 16:14 . 2008-05-20 12:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-14 16:14 . 2006-03-30 18:09 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-14 16:14 . 2006-03-30 18:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-14 16:14 . 2006-03-30 18:09 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-14 16:14 . 2008-05-20 10:44 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-14 16:14 . 2008-05-20 13:22 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-05-13 17:29 . 2008-05-13 17:29 102,400 --a------ C:\WINDOWS\DIIUnin.exe
2008-05-13 17:29 . 2008-05-13 17:43 33,097 --a------ C:\WINDOWS\DIIUnin.dat
2008-05-13 17:29 . 2008-05-13 17:29 2,829 --a------ C:\WINDOWS\DIIUnin.pif
2008-05-13 17:24 . 2008-05-14 23:55 <DIR> d-------- C:\Programme\Diablo II
2008-05-13 15:46 . 2008-05-20 11:51 27,136 --a------ C:\WINDOWS\system32\drivers\Imo46.sys
2008-05-13 14:18 . 2008-05-13 14:18 <DIR> d-------- C:\Programme\DivX
2008-05-13 02:02 . 2008-05-13 02:02 <DIR> d-------- C:\Programme\Veoh Networks
2008-05-13 02:00 . 2008-05-13 02:00 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-05-09 16:56 . 2008-05-11 12:20 <DIR> d-------- C:\Programme\PokerStars
2008-05-02 18:31 . 2008-05-02 18:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2008-04-28 23:17 . 2008-05-13 17:42 21,840 --a----t- C:\WINDOWS\system32\SIntfNT.dll
2008-04-28 23:17 . 2008-05-13 17:42 17,212 --a----t- C:\WINDOWS\system32\SIntf32.dll
2008-04-28 23:17 . 2008-05-13 17:42 12,067 --a----t- C:\WINDOWS\system32\SIntf16.dll
2008-04-21 14:21 . 2008-04-21 14:21 <DIR> d-------- C:\Programme\Microsoft Silverlight

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-20 10:25 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\FRITZ!
2008-05-15 10:52 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-05-14 23:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-14 18:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-05-14 02:23 --------- d-----w C:\Programme\Warcraft III
2008-05-13 15:28 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\teamspeak2
2008-05-13 00:03 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-09 13:32 --------- d-----w C:\Programme\PartyGaming
2008-05-04 14:49 --------- d-----w C:\Programme\Konsolen
2008-03-28 11:35 --------- d-----w C:\Programme\Microsoft Games
2007-01-27 21:32 56 --sh--r C:\WINDOWS\system32\2A01FEA211.sys
2007-01-27 21:32 900 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{05bf226b-feaf-4834-a8a9-f875f2273529}]
C:\WINDOWS\system32\dmsymlqc.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{479FD0CF-5BE9-4C63-8CDA-B6D371C67BD5}"= "C:\Programme\WinMediaCodec\iesplugin.dll" [ ]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{479fd0cf-5be9-4c63-8cda-b6d371c67bd5}]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{479FD0CF-5BE9-4C63-8CDA-B6D371C67BD5}"= C:\Programme\WinMediaCodec\iesplugin.dll [ ]

[HKEY_CLASSES_ROOT\clsid\{479fd0cf-5be9-4c63-8cda-b6d371c67bd5}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2002-11-08 15:50 98304]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-28 11:00 7315456]
"nwiz"="nwiz.exe" [2005-12-28 11:00 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-28 11:00 86016]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2002-10-08 12:03 155648]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [ ]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03 36975]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-10-30 10:36 256576]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-25 19:58 282624]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 17:33 563984]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam\Quickcam.exe" [2007-10-25 17:37 2178832]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-02-26 21:46 153136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Imo46.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Warcraft III\\Warcraft III.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"C:\\Programme\\Warcraft III\\war3.exe"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programme\\Ocean Technology\\GG E-Sports Platform\\GGclient.exe"=
"C:\\Programme\\NEXON\\EuropeMapleStory\\Patcher.exe"=
"C:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\battlefrontII.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-01-21 18:11]
R0 Imo46;Imo46;C:\WINDOWS\system32\Drivers\Imo46.sys [2008-05-20 11:51]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
S3 AEXPAM;Philips SmartManage Service;C:\WINDOWS\system32\Drivers\aexpamdrv.sys [2005-12-20 11:57]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe []
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-01-25 19:31]
S3 odysseyIM3;Odyssey Network Services Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM3.sys [2004-08-20 19:09]
S3 TNET1130;D-Link AirPlus G+ Wireless Adapter;C:\WINDOWS\system32\DRIVERS\GPlus.sys [2004-05-21 16:59]

.
Inhalt des "geplante Tasks" Ordners
"2008-05-14 18:25:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-05-15 13:45:10 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
__________
MfG Mangekyou
Seitenanfang Seitenende
20.05.2008, 14:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ««
Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\Drivers\Imo46.sys

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

---------------------------------------------------------------
««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{05bf226b-feaf-4834-a8a9-f875f2273529}]

File::
C:\WINDOWS\system32\dmsymlqc.dll
C:\WINDOWS\system32\gmfdspcd.exe

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

»»
poste den neues report

----------------------------------------------------------------

««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Imo46

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.05.2008, 14:59
Member

Themenstarter
Avatar Mangekyou

Beiträge: 19
#11 Das kam beim Senden als Text raus: 0 bytes size received / Se ha recibido un archivo vacio
Der Combofix Scan läuft ...

ComboFix 08-05-19.4 - Besitzer 2008-05-20 15:04:38.9 - NTFSx86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.371 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Besitzer\Desktop\cfscript.txt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\system32\dmsymlqc.dll
C:\WINDOWS\system32\gmfdspcd.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\gmfdspcd.exe
C:\WINDOWS\system32\WinNt32.dll
.
---- Previous Run -------
.
C:\WINDOWS\system32\dmgjdclh.ini
C:\WINDOWS\system32\gjlUBcdd.ini
C:\WINDOWS\system32\hlcdjgmd.dll
C:\WINDOWS\system32\jrymppne.ini
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\wzghui.sys

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-20 bis 2008-05-20 ))))))))))))))))))))))))))))))
.

2008-05-20 12:03 . 2008-05-20 12:03 197 --a------ C:\WINDOWS\system32\MRT.INI
2008-05-20 11:06 . 2008-05-20 11:06 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-05-20 11:05 . 2008-05-20 11:06 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-20 11:05 . 2008-05-20 11:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-20 11:05 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-20 11:05 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-20 10:56 . 2008-05-20 11:00 <DIR> d-------- C:\RVAXO
2008-05-20 10:50 . 2008-05-20 06:42 824,759 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-05-20 10:50 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-05-20 10:44 . 2008-05-20 10:44 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-05-20 10:22 . 2008-05-20 10:22 <DIR> d-------- C:\Programme\CCleaner
2008-05-15 15:23 . 2008-05-15 15:23 19,286 --a------ C:\cleanup.exe
2008-05-14 23:03 . 2008-05-14 23:30 <DIR> d-------- C:\Programme\Enigma Software Group
2008-05-14 19:17 . 2008-05-14 19:17 <DIR> d-------- C:\Programme\CleanUp!
2008-05-14 16:14 . 2006-03-30 17:18 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-14 16:14 . 2006-03-30 18:09 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-05-14 16:14 . 2006-03-30 18:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-14 16:14 . 2008-05-20 12:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-14 16:14 . 2006-03-30 18:09 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-14 16:14 . 2006-03-30 18:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-14 16:14 . 2006-03-30 18:09 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-14 16:14 . 2008-05-20 10:44 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-14 16:14 . 2008-05-20 15:09 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-05-13 17:29 . 2008-05-13 17:29 102,400 --a------ C:\WINDOWS\DIIUnin.exe
2008-05-13 17:29 . 2008-05-13 17:43 33,097 --a------ C:\WINDOWS\DIIUnin.dat
2008-05-13 17:29 . 2008-05-13 17:29 2,829 --a------ C:\WINDOWS\DIIUnin.pif
2008-05-13 17:24 . 2008-05-14 23:55 <DIR> d-------- C:\Programme\Diablo II
2008-05-13 15:46 . 2008-05-20 11:51 27,136 --a------ C:\WINDOWS\system32\drivers\Imo46.sys
2008-05-13 14:18 . 2008-05-20 14:22 <DIR> d-------- C:\Programme\DivX
2008-05-13 02:02 . 2008-05-13 02:02 <DIR> d-------- C:\Programme\Veoh Networks
2008-05-13 02:00 . 2008-05-13 02:00 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-05-09 16:56 . 2008-05-11 12:20 <DIR> d-------- C:\Programme\PokerStars
2008-05-02 18:31 . 2008-05-02 18:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2008-04-28 23:17 . 2008-05-13 17:42 21,840 --a----t- C:\WINDOWS\system32\SIntfNT.dll
2008-04-28 23:17 . 2008-05-13 17:42 17,212 --a----t- C:\WINDOWS\system32\SIntf32.dll
2008-04-28 23:17 . 2008-05-13 17:42 12,067 --a----t- C:\WINDOWS\system32\SIntf16.dll
2008-04-21 14:21 . 2008-04-21 14:21 <DIR> d-------- C:\Programme\Microsoft Silverlight

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-20 13:01 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\FRITZ!
2008-05-15 10:52 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-05-14 23:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-14 18:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-05-14 02:23 --------- d-----w C:\Programme\Warcraft III
2008-05-13 15:28 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\teamspeak2
2008-05-13 00:03 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-09 13:32 --------- d-----w C:\Programme\PartyGaming
2008-05-04 14:49 --------- d-----w C:\Programme\Konsolen
2008-03-28 11:35 --------- d-----w C:\Programme\Microsoft Games
2007-01-27 21:32 56 --sh--r C:\WINDOWS\system32\2A01FEA211.sys
2007-01-27 21:32 900 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-05-20_13.35.53.90 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-20 11:22:38 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-20 13:09:03 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-20 11:09:01 49,174 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-05-20 12:56:12 49,174 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-05-20 11:09:01 40,836 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-05-20 12:56:12 40,836 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-05-20 11:09:01 320,094 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-05-20 12:56:12 320,094 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-05-20 11:09:01 314,508 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-05-20 12:56:12 314,508 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{479FD0CF-5BE9-4C63-8CDA-B6D371C67BD5}"= "C:\Programme\WinMediaCodec\iesplugin.dll" [ ]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{479fd0cf-5be9-4c63-8cda-b6d371c67bd5}]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{479FD0CF-5BE9-4C63-8CDA-B6D371C67BD5}"= C:\Programme\WinMediaCodec\iesplugin.dll [ ]

[HKEY_CLASSES_ROOT\clsid\{479fd0cf-5be9-4c63-8cda-b6d371c67bd5}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2002-11-08 15:50 98304]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-28 11:00 7315456]
"nwiz"="nwiz.exe" [2005-12-28 11:00 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-28 11:00 86016]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2002-10-08 12:03 155648]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [ ]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03 36975]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-10-30 10:36 256576]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-25 19:58 282624]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 17:33 563984]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam\Quickcam.exe" [2007-10-25 17:37 2178832]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-02-26 21:46 153136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Imo46.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Warcraft III\\Warcraft III.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"C:\\Programme\\Warcraft III\\war3.exe"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programme\\Ocean Technology\\GG E-Sports Platform\\GGclient.exe"=
"C:\\Programme\\NEXON\\EuropeMapleStory\\Patcher.exe"=
"C:\\Programme\\LucasArts\\Star Wars Battlefront II\\GameData\\battlefrontII.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-01-21 18:11]
R0 Imo46;Imo46;C:\WINDOWS\system32\Drivers\Imo46.sys [2008-05-20 11:51]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
S3 AEXPAM;Philips SmartManage Service;C:\WINDOWS\system32\Drivers\aexpamdrv.sys [2005-12-20 11:57]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\MAGIX\Common\Database\bin\fbserver.exe []
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-01-25 19:31]
S3 odysseyIM3;Odyssey Network Services Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM3.sys [2004-08-20 19:09]
S3 TNET1130;D-Link AirPlus G+ Wireless Adapter;C:\WINDOWS\system32\DRIVERS\GPlus.sys [2004-05-21 16:59]

.
Inhalt des "geplante Tasks" Ordners
"2008-05-14 18:25:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-05-15 13:45:10 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"


Und hier der Regsearch Log:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 2008-05-20 15:31:03 for strings:
; 'imo46'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Imo46.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Imo46.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IMO46]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IMO46\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IMO46\0000]
"Service"="Imo46"
"DeviceDesc"="Imo46"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IMO46\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IMO46\0000\Control]
"ActiveService"="Imo46"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Imo46]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Imo46]
"ImagePath"="System32\\Drivers\\Imo46.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Imo46\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Imo46\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Imo46\Enum]
"0"="Root\\LEGACY_IMO46\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\Imo46.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\Imo46.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IMO46]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IMO46\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IMO46\0000]
"Service"="Imo46"
"DeviceDesc"="Imo46"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Imo46]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Imo46]
"ImagePath"="System32\\Drivers\\Imo46.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Imo46\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Imo46.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Imo46.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IMO46]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IMO46\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IMO46\0000]
"Service"="Imo46"
"DeviceDesc"="Imo46"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IMO46\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IMO46\0000\Control]
"ActiveService"="Imo46"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Imo46]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Imo46]
"ImagePath"="System32\\Drivers\\Imo46.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Imo46\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Imo46\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Imo46\Enum]
"0"="Root\\LEGACY_IMO46\\0000"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\comdlg32\opensavemru\*]
"d"="C:\\WINDOWS\\system32\\drivers\\Imo46.sys"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\comdlg32\opensavemru\sys]
"a"="C:\\WINDOWS\\system32\\drivers\\Imo46.sys"

; End Of The Log...
__________
MfG Mangekyou
Dieser Beitrag wurde am 20.05.2008 um 15:33 Uhr von Mangekyou editiert.
Seitenanfang Seitenende
20.05.2008, 16:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 avenger
http://virus-protect.org/artikel/tools/avenger.html

setze ein Häkchen in: "Automatically disable any rootkits found"

Das Häkchen "Scan for Rootkits" sollte angehakt sein.

kopiere in das weisse feld:

Zitat

Drivers to disable:
Imo46
Drivers to delete:
Imo46
Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Imo46.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Imo46.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IMO46
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Imo46
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\Imo46.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\Imo46.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IMO46
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Imo46
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Imo46.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Imo46.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IMO46
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Imo46
Files to delete:
C:\WINDOWS\system32\Drivers\Imo46.sys

nach dem Neustart (wahrscheinlich wird der rechner 2 mal booten) erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), wenn es im Sicherheitsforum verlangt wird, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.05.2008, 17:15
Member

Themenstarter
Avatar Mangekyou

Beiträge: 19
#13 So vielen Dank erst mal ! Ich finds super dass es solche Foren gibt wenn die ganzen Computer Reperatur Dienste nur noch Formatieren empfehlen ;)

SO das Log vom Avenger :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "Imo46" disabled successfully.
Driver "Imo46" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Imo46.sys" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Imo46.sys" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IMO46" deleted successfully.

Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Imo46" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Imo46" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\Imo46.sys" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\Imo46.sys" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IMO46" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Imo46" deleted successfully.

Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Imo46.sys" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Imo46.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Imo46.sys" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Imo46.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IMO46" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IMO46" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Imo46" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Imo46" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\Drivers\Imo46.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ist mein PC jetzt wieder soweit sauber?? ... vll hast du noch ein paar Tips für ein gutes anti Viren Programm ... hab im Moment Antivir die neuste und Kaspersky die neuste.
__________
MfG Mangekyou
Dieser Beitrag wurde am 20.05.2008 um 17:53 Uhr von Mangekyou editiert.
Seitenanfang Seitenende
20.05.2008, 18:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 ««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)

««
boote in den abgesicherten modus

Antivirus
Heuristik-Einstellung:

Erkennungsstufe "hoch" einstellen - (Expertenmodus anhaken)



der scan wird ein weilchen dauern...lasse alles scannen + poste hier den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.05.2008, 21:55
Member

Themenstarter
Avatar Mangekyou

Beiträge: 19
#15 So also der TR/Vundo.Gen ist jetzt endgültig ausradiert ;);) dafür vielen vielen Dank ;);)

Schlecht ist aber das TR/Crypt.Xpack.Gen immernoch drauf ist ... leider sehr hartnäckig -.- ich würde den AntiVir Report posten aber der ist zu lang und 8,5 MB groß deswegen kann ich den auch nicht als Anhang posten ;)


Ende des Suchlaufs: Dienstag, 20. Mai 2008 22:04
Benötigte Zeit: 1:36:46 min

Der Suchlauf wurde vollständig durchgeführt.

4651 Verzeichnisse wurden überprüft
299885 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
3 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
74 Dateien konnten nicht durchsucht werden
299882 Dateien ohne Befall
1510 Archive wurden durchsucht
74 Warnungen
3 Hinweise

Also das Ende des Reports sagt das alles gelöscht ist aber ich müsste noch einen 3. lauf machen um das abzuchecken ... hab ja schon 4 Stunden an den letzten beiden gesessen ... die Ereignisliste sagt zumindest dass alles gelöscht wurde *freu*

MFG Mangekyou

PS:Ihr leistet echt ne super Arbeit hier
__________
MfG Mangekyou
Dieser Beitrag wurde am 20.05.2008 um 22:09 Uhr von Mangekyou editiert.
Seitenanfang Seitenende