Home » Viren, Trojaner & Malware Forum » Entfernung der Spyware BraveSentry » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2

Antworten

Entfernung der Spyware BraveSentry

19.05.2008, 13:05

KMD

Member

Beiträge: 12

#1 Hallo Leute,

ich bräuchte dringend Hilfe bei der Entfernung der Spyware BraveSentry. BraveSentry hat den Rechner und das gesammte Netzwerk lahm gelegt. Es ging weder der Taskmanager noch konnte man die Systemsteuerung aufrufen, geschweige irgend welche Programme über Start/Ausführen starten.
Habe zwar schon einiges hier im Forum gefunden, aber sobald es darum geht, Einträge mit dem Avenger zu löschen, wusste ich nicht mehr weiter. Vielleicht kann mir ja jemand von euch weiter helfen!?

Hier mal meine Log-Files:

------------------------------------------------------------------------

ComboFix 08-05-15.3 - keller.ronny 2008-05-19 12:07:13.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.221 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\keller.ronny\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\autoex.dll
C:\d.exe
C:\Dokumente und Einstellungen\Administrator\cftmon.exe
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\findfast.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\autorun.exe
C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\ultra
C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\ultra\uninstall.bat
C:\Dokumente und Einstellungen\keller.ronny\cftmon.exe
C:\Dokumente und Einstellungen\keller.ronny\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\keller.ronny\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\keller.ronny\Favoriten\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\keller.ronny\Startmenü\Programme\Autostart\findfast.exe
C:\Dokumente und Einstellungen\keller.ronny\Startmenü\Programme\Brave-Sentry
C:\Dokumente und Einstellungen\keller.ronny\Startmenü\Programme\Brave-Sentry\BraveSentry.lnk
C:\Dokumente und Einstellungen\keller.ronny\Startmenü\Programme\Brave-Sentry\Uninstall.lnk
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\microsoft\internet explorer\Desktop.htt
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\printer.exe
C:\Dokumente und Einstellungen\LocalService\cftmon.exe
C:\Dokumente und Einstellungen\LocalService\ftpdll.dll
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Install.dat
C:\findfast.exe
C:\Programme\Helper
C:\Programme\Helper\1210938304.dll
C:\Programme\syscmd
C:\Programme\syscmd\mscmp.inf
C:\Programme\syscmd\mscmp32.dll
C:\Programme\syscmd\uninstall.bat
C:\WINDOWS\desktop.html
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\inf\ultra.inf
C:\WINDOWS\mrofinu27.exe
C:\WINDOWS\mrofinu27.exe.tmp
C:\WINDOWS\shell.exe
C:\WINDOWS\system32\11454897941.dll
C:\WINDOWS\system32\autorun.ini
C:\WINDOWS\system32\config\49248406.Evt
C:\WINDOWS\system32\crypts.dll
C:\WINDOWS\system32\ctfmona.exe
C:\WINDOWS\system32\cwgqvhvs.dll
C:\WINDOWS\system32\dllgh8jkd1q1.exe
C:\WINDOWS\system32\dllgh8jkd1q2.exe
C:\WINDOWS\system32\dllgh8jkd1q5.exe
C:\WINDOWS\system32\dllgh8jkd1q6.exe
C:\WINDOWS\system32\dllgh8jkd1q7.exe
C:\WINDOWS\system32\dllgh8jkd1q8.exe
C:\WINDOWS\system32\drivers\Bhn17.sys
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\system32\drivers\tcpsr.sys
C:\WINDOWS\system32\EdJjlnnn.ini
C:\WINDOWS\system32\EdJjlnnn.ini2
C:\WINDOWS\system32\fccdayxX.dll
C:\WINDOWS\system32\found.exe.exe
C:\WINDOWS\system32\ftpdll.dll
C:\WINDOWS\system32\kr_done1
C:\WINDOWS\system32\maxpaynow1.exe
C:\WINDOWS\system32\maxpaynowti.exe
C:\WINDOWS\system32\maxpaynowti1.exe
C:\WINDOWS\system32\msdefender.exe
C:\WINDOWS\system32\nnnljJdE.dll
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\spoolvs.exe
C:\WINDOWS\system32\svchost.t__
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\svhvqgwc.ini
C:\WINDOWS\system32\vedxg4am1et2.exe
C:\WINDOWS\system32\vedxg6ame4.exe
C:\WINDOWS\system32\vedxga1me4t1.exe
C:\WINDOWS\system32\vedxga3me2.exe
C:\WINDOWS\system32\vedxga4me1.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\wind32.exe
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\wowfx.dll
C:\WINDOWS\system32\xlibgfl254.dll
C:\WINDOWS\taskmon.exe
C:\windows\xpupdate.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASC3550P
-------\Legacy_BHN17
-------\Legacy_ICF
-------\Legacy_TCPSR
-------\Service_asc3550p
-------\Service_Bhn17
-------\Service_ICF
-------\Service_tcpsr
-------\Legacy_Schedule
-------\Service_Schedule

((((((((((((((((((((((( Dateien erstellt von 2008-04-19 bis 2008-05-19 ))))))))))))))))))))))))))))))
.

2008-05-19 11:36 . 2008-05-19 11:36 <DIR> d-------- C:\Programme\CCleaner
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-19 10:02 . 2008-05-19 12:07 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-19 10:02 . 2005-07-09 05:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2008-05-19 10:02 . 2005-01-15 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec
2008-05-19 10:02 . 2005-07-09 05:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-19 10:02 . 2008-05-19 11:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-19 10:02 . 2008-05-19 11:52 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-05-19 09:52 . 2008-05-19 09:52 <DIR> d-------- C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\TmpRecentIcons
2008-05-16 13:44 . 2008-05-19 11:35 269,334 --a------ C:\WINDOWS\system32\ctfmonb.bmp
2008-05-16 13:44 . 2008-05-16 13:44 233,984 --a------ C:\WINDOWS\system32\edyj617.exe
2008-05-16 13:44 . 2008-05-19 11:35 160,256 --a------ C:\WINDOWS\system32\blackster.scr
2008-05-16 13:44 . 2008-05-16 13:44 80,384 --a------ C:\prkh.exe
2008-05-16 13:44 . 2008-05-19 12:08 62,386 --a------ C:\WINDOWS\system32\nzqtegh.sys
2008-05-16 13:44 . 2008-05-16 13:44 9,216 --a------ C:\WINDOWS\system32\edyj615.exe
2008-05-16 13:44 . 2008-05-16 13:44 2 --a------ C:\281198849
2008-05-16 13:42 . 2008-05-16 13:42 110,592 --a------ C:\WINDOWS\system32\rqnovyzg.exe
2008-05-16 13:39 . 2008-05-16 13:39 29,824 --a------ C:\WINDOWS\system32\urqOIAqn.dll
2008-05-16 13:38 . 2008-05-16 13:44 27,136 --a------ C:\WINDOWS\system32\drivers\Cio51.sys
2008-05-16 13:37 . 2008-05-16 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmenü
2008-05-16 13:37 . 2008-05-16 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fqdqlsfg
2008-05-16 13:37 . 2008-05-16 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
2008-05-16 13:37 . 2008-05-16 02:02 327,680 --a------ C:\WINDOWS\vbksrofa.dll
2008-05-16 13:37 . 2008-05-16 02:02 278,528 --a------ C:\WINDOWS\fvowketqgbv.dll
2008-05-16 13:37 . 2008-05-16 02:01 241,664 --a------ C:\WINDOWS\mpfanvqg.dll
2008-05-16 13:37 . 2008-05-16 02:03 200,704 --a------ C:\WINDOWS\pvnsmfor.dll
2008-05-16 13:37 . 2008-05-16 02:03 159,744 --a------ C:\WINDOWS\exnk.exe
2008-05-16 13:37 . 2008-05-16 13:37 110,592 --a------ C:\WINDOWS\system32\bsnkhknw.exe
2008-05-16 13:37 . 2008-05-16 02:03 94,208 --a------ C:\WINDOWS\oadkxrts.exe
2008-05-16 13:37 . 2008-05-16 13:37 29,824 --a------ C:\WINDOWS\system32\khfCtqpp.dll
2008-05-16 13:36 . 2008-05-16 13:37 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-05-16 13:36 . 2008-05-16 13:45 33,792 --a------ C:\WINDOWS\system32\sincim32.dll
2008-05-16 13:36 . 2008-05-16 13:37 33,792 --a------ C:\WINDOWS\system32\interns32.dll
2008-05-16 13:36 . 2008-05-16 13:45 347 --a------ C:\WINDOWS\system32\es.dat
2008-05-16 13:34 . 2008-05-16 13:56 19,557 --a------ C:\WINDOWS\totacon.config
2008-05-16 13:33 . 2008-05-16 13:44 212,992 --a------ C:\WINDOWS\totacon.exe
2008-05-16 13:33 . 2008-05-16 13:33 29,136 --a------ C:\WINDOWS\system32\edyj618.exe
2008-05-16 13:33 . 2008-05-16 13:33 11,776 --a------ C:\WINDOWS\system32\edyj534.exe
2008-05-16 13:33 . 2008-05-16 13:44 1 --a------ C:\WINDOWS\system32\gwwzpc.tmp
2008-05-16 13:32 . 2008-05-16 13:32 3,117 --a------ C:\Dokumente und Einstellungen\keller.ronny\ie_updates3r.exe
2008-04-28 09:52 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-04-28 09:52 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-04-28 09:52 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
6 Datei(en) . 5,018,040 C:\ComboFix\Bytes
3 Datei(en) . 1,049,790 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-19 10:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-05-16 11:44 233,006 ----a-w C:\WINDOWS\system32\edyj550.exe
2008-05-16 11:43 66,048 ----a-w C:\kskbd.exe
2008-05-16 11:43 40,448 ----a-w C:\WINDOWS\system32\msiesetup.exe
2008-05-16 11:43 10,000 ----a-w C:\WINDOWS\system32\hdxjd4g.dll
2008-05-16 11:43 10,000 ----a-w C:\WINDOWS\system32\djki397g.dll
2008-05-16 11:43 1,005,568 ----a-w C:\WINDOWS\system32\msupdate.dll
2006-04-11 11:10 316 ----a-w C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\wklnhst.dat
.

------- Sigcheck -------

2004-08-04 05:00 510464 62c9b901da3bfb29fda1d07b4d582da8 C:\WINDOWS\system32\winlogon.exe

md5deep: C:\WINDOWS\explorer.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied
.
((((((((((((((((((((((((((((( snapshot@2008-05-19_12.02.05.62 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-19 09:25:57 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-05-19 09:59:19 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-05-19 09:25:57 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-05-19 09:59:19 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-05-19 09:25:57 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-05-19 09:59:19 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}]
2008-05-16 13:43 1005568 --a------ C:\WINDOWS\system32\msupdate.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4e7e9fb8-7954-4b15-86bc-5e8d5549047a}]
2008-05-16 02:02 278528 --a------ C:\WINDOWS\fvowketqgbv.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF4CC146-43C9-4741-8D21-EB5035A4EBEC}]
2008-05-16 13:37 29824 --a------ C:\WINDOWS\system32\khfCtqpp.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ffffffff-b432-46fc-9143-b82b832b1b14}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{91549F7B-90F9-4BBA-8599-7515EB4D87C1}"= "C:\WINDOWS\pvnsmfor.dll" [2008-05-16 02:03 200704]

[HKEY_CLASSES_ROOT\clsid\{91549f7b-90f9-4bba-8599-7515eb4d87c1}]
[HKEY_CLASSES_ROOT\pvnsmfor.1]
[HKEY_CLASSES_ROOT\TypeLib\{9209A88A-455F-4DE4-97D9-0B32E537DBF7}]
[HKEY_CLASSES_ROOT\pvnsmfor]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]
"eRecoveryService"="" []
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-18 10:24 68856]
"ntswqugt"="C:\WINDOWS\system32\rqnovyzg.exe" [2008-05-16 13:42 110592]
"totacon"="C:\WINDOWS\totacon.exe" [2008-05-16 13:44 212992]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmona"="C:\WINDOWS\system32\ctfmona.exe" [ ]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-08-04 10:49 58992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"higevnwa"="C:\WINDOWS\system32\bsnkhknw.exe" [2008-05-16 13:37 110592]
"Service Pack 1"="C:\WINDOWS\system32\vedxg6ame4.exe" [ ]

C:\Dokumente und Einstellungen\keller.ronny\Startmen\Programme\Autostart\
Launch K9.lnk - C:\Programme\KeirNet\K9\K9.exe [2004-04-18 21:43:44 82944]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-29 11:21:07 110592]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"ghF1ghlZFw"= C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fqdqlsfg\hsjilihu.exe

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{EF4CC146-43C9-4741-8D21-EB5035A4EBEC}"= C:\WINDOWS\system32\khfCtqpp.dll [2008-05-16 13:37 29824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ObEjcC"= {10C2C102-BA68-6BA8-EE70-57A451F76353} - C:\WINDOWS\system32\eyzaulk.dll [2004-08-04 05:00 32768]
"vbksrofa"= {D5D7377D-FA73-4D1A-901D-F17773DAFF8B} - C:\WINDOWS\vbksrofa.dll [2008-05-16 02:02 327680]
"mpfanvqg"= {6E79FE4A-33E7-45BF-A13D-A8DE422F1910} - C:\WINDOWS\mpfanvqg.dll [2008-05-16 02:01 241664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfCtqpp]
khfCtqpp.dll 2008-05-16 13:37 29824 C:\WINDOWS\system32\khfCtqpp.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Cio51.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"\\findfast.exe"=
"C:\\WINDOWS\\totacon.exe"=

R0 Cio51;Cio51;C:\WINDOWS\system32\Drivers\Cio51.sys [2008-05-16 13:44]
R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys [2005-02-11 19:11]
R2 Google Online Services;Google Online Services;C:\Dokumente und Einstellungen\keller.ronny\ie_updates3r.exe [2008-05-16 13:32]
S3 int15.sys;int15.sys;C:\Programme\acer\eRecovery\int15.sys [2005-01-13 14:46]

.
Inhalt des "geplante Tasks" Ordners
"2008-05-05 07:53:18 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen - keller.ronny.job"
- C:\PROGRA~1\NORTON~1\Navw32.exel/task:
"2008-05-16 11:07:33 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-19 12:07:54
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\khfCtqpp.dll
-> C:\WINDOWS\system32\WinNt32.dll
.
Zeit der Fertigstellung: 2008-05-19 12:08:35
ComboFix-quarantined-files.txt 2008-05-19 10:08:24

15 Verzeichnis(se), 88,989,736,960 Bytes frei
18 Verzeichnis(se), 88,982,298,624 Bytes frei

280

------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:19:55, on 19.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\Dokumente und Einstellungen\keller.ronny\ie_updates3r.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fqdqlsfg\hsjilihu.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\rqnovyzg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\explorer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\keller.ronny\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: NETWORK SERVICE - {3A4E6FF3-BF59-446E-9DC8-731BCE2F349A} - C:\WINDOWS\system32\msupdate.dll
O2 - BHO: QXK Rhythm - {4e7e9fb8-7954-4b15-86bc-5e8d5549047a} - C:\WINDOWS\fvowketqgbv.dll
O2 - BHO: (no name) - {EF4CC146-43C9-4741-8D21-EB5035A4EBEC} - C:\WINDOWS\system32\khfCtqpp.dll
O2 - BHO: Min stor proj. - {ffffffff-b432-46fc-9143-b82b832b1b14} - sincim32.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: pvnsmfor - {91549F7B-90F9-4BBA-8599-7515EB4D87C1} - C:\WINDOWS\pvnsmfor.dll
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ntswqugt] C:\WINDOWS\system32\rqnovyzg.exe
O4 - HKCU\..\Run: [totacon] C:\WINDOWS\totacon.exe
O4 - HKLM\..\Policies\Explorer\Run: [ghF1ghlZFw] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fqdqlsfg\hsjilihu.exe
O4 - HKUS\.DEFAULT\..\Run: [higevnwa] C:\WINDOWS\system32\bsnkhknw.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe (User 'Default user')
O4 - Startup: Launch K9.lnk = C:\Programme\KeirNet\K9\K9.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209369107718
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O20 - Winlogon Notify: khfCtqpp - C:\WINDOWS\SYSTEM32\khfCtqpp.dll
O21 - SSODL: ObEjcC - {10C2C102-BA68-6BA8-EE70-57A451F76353} - C:\WINDOWS\system32\eyzaulk.dll
O21 - SSODL: vbksrofa - {D5D7377D-FA73-4D1A-901D-F17773DAFF8B} - C:\WINDOWS\vbksrofa.dll
O21 - SSODL: mpfanvqg - {6E79FE4A-33E7-45BF-A13D-A8DE422F1910} - C:\WINDOWS\mpfanvqg.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Online Services - Unknown owner - C:\Dokumente und Einstellungen\keller.ronny\ie_updates3r.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

--
End of file - 6874 bytes

------------------------------------------------------------------------

HijackThis-Uninstall-List

Adobe Flash Player 9 ActiveX
Adobe Photoshop 7.0
Adobe Reader 6.0
AOL Coach Version 1.0(Build:20040201.2 de)
AOL Deutschland
AOL Meine Fotos Bildschirmschoner
AOL Optimized Dial-In
Athlon 64 Processor Driver
ATI Display Driver
ccCommon
CCleaner (remove only)
Google Toolbar for Internet Explorer
HijackThis 2.0.2
ICQ 5.1
Internet Worm Protection
Java 2 Runtime Environment, SE v1.4.2_05
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) SE Runtime Environment 6 Update 1
K9
LeechFTP
LiveReg (Symantec Corporation)
LiveUpdate 2.5 (Symantec Corporation)
Macromedia Dreamweaver MX
Macromedia Extension Manager
Microsoft Office 2000 Premium
Microsoft Works
Mozilla Firefox (2.0.0.12)
Norton AntiVirus 2005
Norton AntiVirus 2005 (Symantec Corporation)
Norton AntiVirus Help
Norton AntiVirus Parent MSI
Norton WMI Update
NTI Backup NOW! 3
NTI CD & DVD-Maker Gold
NVIDIA Drivers
NvMixer
PowerDVD
QuickTime
RealPlayer Basic
Ruby-186-26
Sibelius Scorch (ActiveX Only)
SPBBC
Symantec
Symantec Script Blocking Installer
SymNet
Terragen 2 Technology Preview
Viewpoint Media Player
Windows Live Messenger
Windows Live Sign-in Assistant
WinRAR Archivierer

------------------------------------------------------------------------

DatFind

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\WINDOWS\system32

19.05.2008 12:29 62.386 nzqtegh.sys
19.05.2008 11:35 160.256 blackster.scr
19.05.2008 11:35 269.334 ctfmonb.bmp
19.05.2008 09:49 1.158 wpa.dbl
16.05.2008 13:50 0 clkcnt.txt
16.05.2008 13:45 33.792 sincim32.dll
16.05.2008 13:45 347 es.dat
16.05.2008 13:44 1 gwwzpc.tmp
16.05.2008 13:44 233.984 edyj617.exe
16.05.2008 13:44 9.216 edyj615.exe
16.05.2008 13:44 233.006 edyj550.exe
16.05.2008 13:43 10.000 djki397g.dll
16.05.2008 13:43 10.000 hdxjd4g.dll
16.05.2008 13:43 658 c__3478.nls
16.05.2008 13:43 418 c__3480.nls
16.05.2008 13:43 290 c__3482.nls
16.05.2008 13:43 66 c__3948.nls
16.05.2008 13:43 130 c__10983.nls
16.05.2008 13:43 98 c__3481.nls
16.05.2008 13:43 338 c__3479.nls
16.05.2008 13:43 82 c__23732.nls
16.05.2008 13:43 48.882 c__0593.nls
16.05.2008 13:43 130 c__2303.nls
16.05.2008 13:43 930 c__374.nls
16.05.2008 13:43 178 c__34895.nls
16.05.2008 13:43 40.448 msiesetup.exe
16.05.2008 13:43 1.005.568 msupdate.dll
16.05.2008 13:43 3 amp.ini
16.05.2008 13:42 110.592 rqnovyzg.exe
16.05.2008 13:39 29.824 urqOIAqn.dll
16.05.2008 13:37 33.792 interns32.dll
16.05.2008 13:37 110.592 bsnkhknw.exe
16.05.2008 13:37 29.824 khfCtqpp.dll
16.05.2008 13:33 29.136 edyj618.exe
16.05.2008 13:33 11.776 edyj534.exe
13.05.2008 09:53 924 eRLog.ini
19.04.2008 10:22 40.800 perfc009.dat
19.04.2008 10:22 318.436 perfh007.dat
19.04.2008 10:22 313.082 perfh009.dat
19.04.2008 10:22 49.226 perfc007.dat
19.04.2008 10:22 728.266 PerfStringBackup.INI
19.04.2008 10:20 364.632 FNTCACHE.DAT
2051 Datei(en) 362.981.890 Bytes
0 Verzeichnis(se), 88.994.480.128 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\DOKUME~1\KELLER~1.RON\LOKALE~1\Temp

19.05.2008 12:29 100.217 datfind.txt
1 Datei(en) 100.217 Bytes
0 Verzeichnis(se), 88.994.508.800 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\WINDOWS

19.05.2008 12:07 227 system.ini
19.05.2008 12:00 489.910 WindowsUpdate.log
19.05.2008 11:59 0 0.log
19.05.2008 11:59 50 wiaservc.log
19.05.2008 11:59 159 wiadebug.log
19.05.2008 11:59 2.048 bootstat.dat
16.05.2008 13:56 19.557 totacon.config
16.05.2008 13:44 212.992 totacon.exe
16.05.2008 12:04 416 BRWMARK.INI
16.05.2008 12:04 26 BRPP2KA.INI
16.05.2008 02:03 94.208 oadkxrts.exe
16.05.2008 02:03 200.704 pvnsmfor.dll
16.05.2008 02:03 159.744 exnk.exe
16.05.2008 02:02 278.528 fvowketqgbv.dll
16.05.2008 02:02 327.680 vbksrofa.dll
16.05.2008 02:01 241.664 mpfanvqg.dll
11.04.2008 11:56 742 win.ini
86 Datei(en) 6.883.241 Bytes
0 Verzeichnis(se), 88.994.504.704 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\WINDOWS\Downloaded Program Files

30.07.2007 19:24 293 wuweb.inf
09.11.2006 15:36 5.019 swflash.inf
15.01.2005 22:51 65 desktop.ini
3 Datei(en) 5.377 Bytes
0 Verzeichnis(se), 88.994.504.704 Bytes frei

------------------------------------------------------------------------

Vielen herzlichen Dank im Vorraus!

Grüße aus Bayern
KMD

19.05.2008, 13:42

Sabina

Ehrenmitglied

Beiträge: 29434

#2 Hallo,

1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

------------------------------------------------------------

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Cio51.sys]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\totacon.exe"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3A4E6FF3-BF59-446E-9DC8-731BCE2F349A}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4e7e9fb8-7954-4b15-86bc-5e8d5549047a}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF4CC146-43C9-4741-8D21-EB5035A4EBEC}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ffffffff-b432-46fc-9143-b82b832b1b14}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{91549F7B-90F9-4BBA-8599-7515EB4D87C1}"=-
[-HKEY_CLASSES_ROOT\clsid\{91549f7b-90f9-4bba-8599-7515eb4d87c1}]
[-HKEY_CLASSES_ROOT\pvnsmfor.1]
[-HKEY_CLASSES_ROOT\TypeLib\{9209A88A-455F-4DE4-97D9-0B32E537DBF7}]
[-HKEY_CLASSES_ROOT\pvnsmfor]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ntswqugt"=-
"totacon"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmona"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"higevnwa"=-
"Service Pack 1"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"ghF1ghlZFw"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{EF4CC146-43C9-4741-8D21-EB5035A4EBEC}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ObEjcC"=-
"vbksrofa"=-
"mpfanvqg"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfCtqpp]

Driver::
Cio51
nzqtegh
Google Online Services

File::
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\vedxg6ame4.exe
C:\WINDOWS\system32\nzqtegh.sys
C:\WINDOWS\system32\blackster.scr
C:\WINDOWS\system32\ctfmona.exe
C:\WINDOWS\system32\ctfmonb.bmp
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\sincim32.dll
C:\WINDOWS\system32\es.dat
C:\WINDOWS\system32\gwwzpc.tmp
C:\WINDOWS\system32\edyj617.exe
C:\WINDOWS\system32\edyj615.exe
C:\WINDOWS\system32\edyj550.exe
C:\WINDOWS\system32\djki397g.dll
C:\WINDOWS\system32\hdxjd4g.dll
C:\WINDOWS\system32\c__3478.nls
C:\WINDOWS\system32\c__3480.nls
C:\WINDOWS\system32\c__3482.nls
C:\WINDOWS\system32\c__3948.nls
C:\WINDOWS\system32\c__10983.nls
C:\WINDOWS\system32\c__3481.nls
C:\WINDOWS\system32\c__3479.nls
C:\WINDOWS\system32\c__23732.nls
C:\WINDOWS\system32\c__0593.nls
C:\WINDOWS\system32\c__2303.nls
C:\WINDOWS\system32\c__374.nls
C:\WINDOWS\system32\c__34895.nls
C:\WINDOWS\system32\msiesetup.exe
C:\WINDOWS\system32\msupdate.dll
C:\WINDOWS\system32\amp.ini
C:\WINDOWS\system32\rqnovyzg.exe
C:\WINDOWS\system32\urqOIAqn.dll
C:\WINDOWS\system32\interns32.dll
C:\WINDOWS\system32\bsnkhknw.exe
C:\WINDOWS\system32\khfCtqpp.dll
C:\WINDOWS\system32\edyj618.exe
C:\WINDOWS\system32\edyj534.exe
C:\WINDOWS\totacon.config
C:\WINDOWS\totacon.exe
C:\WINDOWS\oadkxrts.exe
C:\WINDOWS\pvnsmfor.dll
C:\WINDOWS\exnk.exe
C:\WINDOWS\fvowketqgbv.dll
C:\WINDOWS\vbksrofa.dll
C:\WINDOWS\mpfanvqg.dll
C:\WINDOWS\system32\Drivers\Cio51.sys
C:\Dokumente und Einstellungen\keller.ronny\ie_updates3r.exe
C:\kskbd.exe
C:\prkh.exe
C:\281198849

Folder::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fqdqlsfg
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden

»»
poste das neue Log von Combofix

»»
PC neustarten

--------------
««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Cio51

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
--

das gleiche mit

Google Online Services

---------------------------------------

««
wende windowsscan an + poste den report
http://virus-protect.org/artikel/tools/windowsscan.html
__________
MfG Sabina

rund um die PC-Sicherheit

20.05.2008, 10:15

KMD

Member

Themenstarter

Beiträge: 12

#3 Hallo Sabina,

erstmal vielen Dank für deine Hilfe !!!
Hier die gewünschten Log-Daten:

-----------------------------------------------------------------

ComboFix:

ComboFix 08-05-15.3 - keller.ronny 2008-05-20 9:52:20.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.262 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\keller.ronny\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fqdqlsfg
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fqdqlsfg\hsjilihu.exe
C:\Dokumente und Einstellungen\keller.ronny\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\keller.ronny\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\keller.ronny\Favoriten\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\keller.ronny\ie_updates3r.exe
C:\kskbd.exe
C:\WINDOWS\exnk.exe
C:\WINDOWS\mpfanvqg.dll
C:\WINDOWS\oadkxrts.exe
C:\WINDOWS\pvnsmfor.dll
C:\WINDOWS\system32\amp.ini
C:\WINDOWS\system32\blackster.scr
C:\WINDOWS\system32\bsnkhknw.exe
C:\WINDOWS\system32\c__0593.nls
C:\WINDOWS\system32\c__10983.nls
C:\WINDOWS\system32\c__2303.nls
C:\WINDOWS\system32\c__23732.nls
C:\WINDOWS\system32\c__3478.nls
C:\WINDOWS\system32\c__3479.nls
C:\WINDOWS\system32\c__3480.nls
C:\WINDOWS\system32\c__3481.nls
C:\WINDOWS\system32\c__3482.nls
C:\WINDOWS\system32\c__34895.nls
C:\WINDOWS\system32\c__374.nls
C:\WINDOWS\system32\c__3948.nls
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\ctfmonb.bmp
C:\WINDOWS\system32\djki397g.dll
C:\WINDOWS\system32\Drivers\Cio51.sys
C:\WINDOWS\system32\edyj534.exe
C:\WINDOWS\system32\edyj550.exe
C:\WINDOWS\system32\edyj615.exe
C:\WINDOWS\system32\edyj617.exe
C:\WINDOWS\system32\edyj618.exe
C:\WINDOWS\system32\es.dat
C:\WINDOWS\system32\gwwzpc.tmp
C:\WINDOWS\system32\hdxjd4g.dll
C:\WINDOWS\system32\interns32.dll
C:\WINDOWS\system32\khfCtqpp.dll
C:\WINDOWS\system32\msiesetup.exe
C:\WINDOWS\system32\nzqtegh.sys
C:\WINDOWS\system32\rqnovyzg.exe
C:\WINDOWS\system32\sincim32.dll
C:\WINDOWS\system32\urqOIAqn.dll
C:\WINDOWS\totacon.config
C:\WINDOWS\totacon.exe
C:\WINDOWS\vbksrofa.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CIO51
-------\Legacy_GOOGLE_ONLINE_SERVICES
-------\Service_Cio51
-------\Service_Google Online Services
-------\Service_nzqtegh

((((((((((((((((((((((( Dateien erstellt von 2008-04-20 bis 2008-05-20 ))))))))))))))))))))))))))))))
.

2008-05-19 11:36 . 2008-05-19 11:36 <DIR> d-------- C:\Programme\CCleaner
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-19 10:02 . 2008-05-20 09:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-19 10:02 . 2005-07-09 05:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2008-05-19 10:02 . 2005-01-15 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec
2008-05-19 10:02 . 2005-07-09 05:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-19 10:02 . 2008-05-19 11:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-19 10:02 . 2008-05-19 11:52 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-05-19 09:52 . 2008-05-19 13:46 <DIR> d-------- C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\TmpRecentIcons
2008-05-16 13:44 . 2008-05-16 13:44 80,384 --a------ C:\prkh.exe
2008-05-16 13:44 . 2008-05-16 13:44 2 --a------ C:\281198849
2008-05-16 13:37 . 2008-05-16 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmenü
2008-05-16 13:37 . 2008-05-16 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
2008-05-16 13:36 . 2008-05-16 13:37 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-04-28 09:52 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-04-28 09:52 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-04-28 09:52 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
3 Datei(en) . 1,049,790 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-20 00:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-04-11 11:10 316 ----a-w C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\wklnhst.dat
.

------- Sigcheck -------

2004-08-04 05:00 510464 62c9b901da3bfb29fda1d07b4d582da8 C:\WINDOWS\system32\winlogon.exe

md5deep: C:\WINDOWS\explorer.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied
.
((((((((((((((((((((((((((((( snapshot@2008-05-19_12.02.05.62 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-19 09:59:19 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-19 12:08:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-19 09:25:57 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-05-19 09:59:19 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-05-19 09:25:57 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-05-19 09:59:19 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-05-19 09:25:57 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-05-19 09:59:19 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]
"eRecoveryService"="" []
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-18 10:24 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-08-04 10:49 58992]

C:\Dokumente und Einstellungen\keller.ronny\Startmen\Programme\Autostart\
Launch K9.lnk - C:\Programme\KeirNet\K9\K9.exe [2004-04-18 21:43:44 82944]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-29 11:21:07 110592]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ObEjcC"= {10C2C102-BA68-6BA8-EE70-57A451F76353} - C:\WINDOWS\system32\eyzaulk.dll [2004-08-04 05:00 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"\\findfast.exe"=

R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys [2005-02-11 19:11]
S3 int15.sys;int15.sys;C:\Programme\acer\eRecovery\int15.sys [2005-01-13 14:46]

*Newly Created Service* - catchme
.
Inhalt des "geplante Tasks" Ordners
"2008-05-05 07:53:18 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen - keller.ronny.job"
- C:\PROGRA~1\NORTON~1\Navw32.exe
"2008-05-16 11:07:33 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-20 09:53:00
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-20 9:53:25
ComboFix-quarantined-files.txt 2008-05-20 07:53:18
ComboFix2.txt 2008-05-19 10:08:35

15 Verzeichnis(se), 88,963,825,664 Bytes frei
18 Verzeichnis(se), 88,956,059,648 Bytes frei

178

-----------------------------------------------------------------

regsearch (Cio51):

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 20.05.2008 10:01:34 for strings:
; 'cio51'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Cio51.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\Cio51.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\Cio51.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Cio51.sys]

; End Of The Log...

-----------------------------------------------------------------

regsearch (Google Online Services):

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 20.05.2008 10:04:41 for strings:
; 'google online services'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

; End Of The Log...

-----------------------------------------------------------------

WindowsScan:

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

20.05.2008 system.ini 09 52:227
19.05.2008 WindowsUpdate.log 14 09:492.958
19.05.2008 0.log 14 08:0
19.05.2008 wiaservc.log 14 08:50
19.05.2008 wiadebug.log 14 08:159
19.05.2008 bootstat.dat 14 08:2.048
16.05.2008 BRWMARK.INI 12 04:416
16.05.2008 BRPP2KA.INI 12 04:26
11.04.2008 win.ini 11 56:742
03.08.2007 ODBC.INI 10 17:403
28.02.2007 vbaddin.ini 13 24:59
09.02.2007 BO5150D.INI 14 03:40
09.02.2007 WORDPAD.INI 13 52:754
09.07.2005 WMSysPr9.prx 05 29:316.640
09.07.2005 nsreg.dat 05 28:335
09.07.2005 REGLOCS.OLD 04 20:8.192
28.03.2005 ALAUNCH.INI 09 29:83
24.03.2005 conv.bat 12 34:43
24.03.2005 shut.bat 02 50:17
24.03.2005 yes.txt 01 52:7
16.01.2005 smscfg.ini 20 50:61
15.01.2005 control.ini 22 52:0
15.01.2005 ODBCINST.INI 22 52:4.161
15.01.2005 WindowsShell.Manifest 22 51:749
15.01.2005 vb.ini 22 51:36
15.01.2005 T30DebugLogFile.txt 22 50:0
15.01.2005 Sti_Trace.log 22 49:0

Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

19.05.2008 wpa.dbl 09 49:1.158
13.05.2008 eRLog.ini 09 53:924
19.04.2008 perfh009.dat 10 22:313.082
19.04.2008 perfc009.dat 10 22:40.800
19.04.2008 perfh007.dat 10 22:318.436
19.04.2008 perfc007.dat 10 22:49.226
19.04.2008 PerfStringBackup.INI 10 22:728.266
19.04.2008 FNTCACHE.DAT 10 20:364.632
14.01.2008 jupdate-1.6.0_03-b05.log 14 44:5.628
25.09.2007 javaws.exe 00 31:139.264
25.09.2007 javacpl.cpl 00 31:69.632
24.09.2007 javaw.exe 23 30:135.168
24.09.2007 java.exe 23 30:135.168
20.08.2007 jupdate-1.6.0_02-b06.log 10 08:5.156
30.07.2007 wuaucpl.cpl.mui 19 20:30.040
30.07.2007 wuapi.dll.mui 19 20:30.040
30.07.2007 wuweb.dll 19 19:203.096
30.07.2007 wuaueng.dll 19 19:1.712.984
30.07.2007 wuapi.dll 19 19:549.720
30.07.2007 wucltui.dll 19 19:325.976
30.07.2007 wuaucpl.cpl 19 19:216.408
30.07.2007 cdm.dll 19 19:92.504
30.07.2007 wuauclt.exe 19 19:53.080
30.07.2007 wups2.dll 19 19:43.352
30.07.2007 wucltui.dll.mui 19 18:34.136
30.07.2007 wups.dll 19 18:33.624
30.07.2007 wuaueng.dll.mui 19 18:20.824
04.06.2007 jupdate-1.6.0_01-b06.log 10 00:4.196
19.01.2007 sirenacm.dll 12 53:51.056
28.07.2005 S32EVNT1.DLL 14 52:91.856
09.07.2005 $ncsp$.inf 05 43:333
09.07.2005 qtplugin.log 05 30:2.780
09.07.2005 pncrt.dll 05 29:278.528
09.07.2005 pndx5016.dll 05 29:6.656
09.07.2005 pndx5032.dll 05 29:5.632
09.07.2005 prefscpl.cpl 05 29:25.088
09.07.2005 rmoc3260.dll 05 29:157.696
03.05.2005 atiiiexx.dll 22 04:299.008
03.05.2005 ATIDEMGR.dll 21 31:221.184
03.05.2005 atioglx1.dll 20 52:6.680.576
03.05.2005 atioglxx.dll 19 44:4.820.992
03.05.2005 ati2dvag.dll 19 28:226.816
03.05.2005 atipdlxx.dll 19 24:94.208
03.05.2005 Oemdspif.dll 19 24:73.728
03.05.2005 Ati2mdxx.exe 19 24:25.088
03.05.2005 ati2edxx.dll 19 24:39.936
03.05.2005 ati2evxx.dll 19 23:46.080

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

127.0.0.1 localhost

***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****

Microsoft Windows XP [Version 5.1.2600]

http://www.paules-pc-forum.de
***** Malware Team *****

***** Ende des Scans 20.05.2008 um 10:06:46,78 ***

----------------------------------------------------------------------

keine ahnung ob es dir weiterhilft, aber der Rechner wurde am 16.05 mit BraveSentry infiziert.

Grüße KMD

Dieser Beitrag wurde am 20.05.2008 um 10:24 Uhr von KMD editiert.

20.05.2008, 11:02

Sabina

Ehrenmitglied

Beiträge: 29434

#4 Hallo,

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
lade Combofix neu + anwenden
http://virus-protect.org/artikel/tools/combofix.html

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited" >>files.txt
dir "C:\Dokumente und Einstellungen\LocalService\Favoriten" >>files.txt
dir "C:\Dokumente und Einstellungen\LocalService\Startmenü" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

2.
erstelle eine neue cfscript.txt /Änderung der erst erstellten zulassen) - dann wieder auf das Symbol von Combofix ziehen + erneut anwenden

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Cio51.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\Cio51.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\Cio51.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Cio51.sys]

File::
C:\prkh.exe
C:\281198849

Folder::
C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\TmpRecentIcons
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited

«
poste das neue log von Combofix

»»
http://virus-protect.org/artikel/tools/gmer.html
nutze Gmer Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.
__________
MfG Sabina

rund um die PC-Sicherheit

20.05.2008, 11:51

KMD

Member

Themenstarter

Beiträge: 12

#5 listen.bat

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited

16.05.2008 13:37 <DIR> .
16.05.2008 13:37 <DIR> ..
16.05.2008 13:38 <DIR> MalWarrior 2008
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 89.041.162.240 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\Dokumente und Einstellungen\LocalService\Favoriten

16.05.2008 13:37 <DIR> .
16.05.2008 13:37 <DIR> ..
16.05.2008 13:37 <DIR> Links
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 89.041.158.144 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\Dokumente und Einstellungen\LocalService

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 15:36 5.019 swflash.inf
30.07.2007 19:24 293 wuweb.inf
2 Datei(en) 5.312 Bytes
0 Verzeichnis(se), 89.041.158.144 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\Dokumente und Einstellungen\keller.ronny

19.05.2008 14:05 <DIR> .
19.05.2008 14:05 <DIR> ..
23.01.2006 12:11 519 ACERBACKUPCDLog.TXT
26.07.2006 10:16 <DIR> Contacts
20.05.2008 11:25 <DIR> Desktop
07.09.2007 17:23 <DIR> Eigene Dateien
19.05.2008 14:06 <DIR> Favoriten
08.05.2006 14:02 600 PUTTY.RND
28.02.2007 13:17 <DIR> Startmen
2 Datei(en) 1.119 Bytes
7 Verzeichnis(se), 89.041.158.144 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\Program Files

16.05.2008 13:35 <DIR> .
16.05.2008 13:35 <DIR> ..
16.05.2008 13:35 <DIR> BraveSentry
30.11.2006 12:25 <DIR> ICQLite
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 89.041.158.144 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\Dokumente und Einstellungen\keller.ronny\Lokale Einstellungen\Temporary Internet Files\Content.IE5

20.05.2008 11:20 32.768 index.dat
1 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 89.041.158.144 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\Dokumente und Einstellungen\keller.ronny\Lokale Einstellungen\Temp

20.05.2008 11:23 <DIR> .
20.05.2008 11:23 <DIR> ..
20.05.2008 11:23 7.242 Combofix-Log-2.txt
1 Datei(en) 7.242 Bytes
2 Verzeichnis(se), 89.041.158.144 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\WINDOWS\Temp

20.05.2008 11:23 <DIR> .
20.05.2008 11:23 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 89.041.158.144 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\Temp

28.02.2007 13:17 <DIR> .
28.02.2007 13:17 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 89.041.158.144 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\Programme

19.05.2008 11:52 <DIR> .
19.05.2008 11:52 <DIR> ..
16.01.2005 20:42 <DIR> acer
29.03.2005 11:20 <DIR> Adobe
15.01.2005 22:58 <DIR> AMD
03.08.2006 14:51 <DIR> AOL 9.0
19.05.2008 11:36 <DIR> CCleaner
15.01.2005 22:51 <DIR> ComPlus Applications
15.01.2005 22:58 <DIR> CyberLink
13.05.2008 09:52 <DIR> Gemeinsame Dateien
29.01.2007 10:55 <DIR> Google
30.11.2006 12:31 <DIR> ICQLite
15.01.2005 22:51 <DIR> Internet Explorer
14.01.2008 14:44 <DIR> Java
04.12.2007 11:21 <DIR> KeirNet
08.09.2007 10:10 <DIR> LeechFTP
28.03.2005 10:19 <DIR> Macromedia
15.01.2005 22:50 <DIR> Messenger
28.02.2007 13:17 <DIR> microsoft frontpage
20.09.2007 10:39 <DIR> Microsoft Office
28.02.2007 13:23 <DIR> Microsoft Visual Studio
28.03.2005 09:27 <DIR> Microsoft Works
15.01.2005 22:51 <DIR> Movie Maker
19.05.2008 10:53 <DIR> Mozilla Firefox
15.01.2005 22:50 <DIR> MSN
15.01.2005 22:50 <DIR> MSN Gaming Zone
11.06.2007 09:58 <DIR> MSN Messenger
15.01.2005 22:51 <DIR> NetMeeting
15.01.2005 22:57 <DIR> NewTech Infosystems
28.03.2005 09:52 <DIR> Norton AntiVirus
16.01.2005 20:41 <DIR> NVIDIA Corporation
15.01.2005 22:50 <DIR> Online Services
15.01.2005 22:51 <DIR> Online-Dienste
15.01.2005 22:51 <DIR> Outlook Express
12.01.2007 14:35 <DIR> Planetside Software
09.07.2005 05:29 <DIR> QuickTime
09.07.2005 05:29 <DIR> Real
14.01.2008 13:06 <DIR> Sibelius Software
28.03.2005 09:41 <DIR> Symantec
28.03.2005 09:41 <DIR> SymNetDrv
09.07.2005 05:30 <DIR> Viewpoint
15.01.2005 22:50 <DIR> Windows Media Player
15.01.2005 22:50 <DIR> Windows NT
10.08.2006 11:30 <DIR> WinRAR
15.01.2005 22:52 <DIR> xerox
0 Datei(en) 0 Bytes
45 Verzeichnis(se), 89.041.154.048 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\Dokumente und Einstellungen\keller.ronny\Lokale Einstellungen\Anwendungsdaten

28.03.2005 10:09 <DIR> Adobe
11.04.2006 11:25 62.672 GDIPFONTCACHEV1.DAT
25.09.2006 10:15 <DIR> Google
12.01.2006 13:27 <DIR> Identities
23.02.2007 11:25 <DIR> Lexware
05.12.2007 11:42 <DIR> Microsoft
25.10.2006 13:13 <DIR> Mozilla
28.03.2005 09:24 <DIR> {7148F0A6-6813-11D6-A77B-00B0D0142050}
1 Datei(en) 62.672 Bytes
7 Verzeichnis(se), 89.041.154.048 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten

18.11.2005 12:37 <DIR> Adobe
28.03.2005 10:09 <DIR> AdobeUM
09.07.2005 05:42 <DIR> AOL
25.09.2006 11:37 <DIR> Google
30.11.2006 12:31 <DIR> ICQLite
15.01.2005 22:56 <DIR> Identities
04.12.2007 11:22 <DIR> K9
28.03.2005 10:07 <DIR> Macromedia
28.02.2007 13:18 <DIR> Microsoft Web Folders
25.10.2006 13:13 <DIR> Mozilla
14.01.2008 13:06 <DIR> Sibelius Software
28.03.2005 09:24 <DIR> Sun
28.03.2005 09:38 <DIR> Symantec
11.04.2006 11:26 <DIR> Template
19.05.2008 13:46 <DIR> TmpRecentIcons
12.01.2007 14:39 <DIR> uk.co.planetside
11.04.2006 13:10 316 wklnhst.dat
09.07.2005 05:30 <DIR> You've Got Pictures Screensaver
1 Datei(en) 316 Bytes
17 Verzeichnis(se), 89.041.154.048 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

15.01.2005 22:56 <DIR> Adobe
16.05.2008 13:37 <DIR> Adsl Software Limited
03.08.2006 14:51 <DIR> AOL
15.01.2005 22:58 <DIR> CyberLink
25.09.2006 09:59 <DIR> Google
14.11.2005 12:05 <DIR> QuickTime
15.01.2005 23:00 <DIR> Symantec
09.07.2005 05:30 <DIR> Viewpoint
0 Datei(en) 0 Bytes
8 Verzeichnis(se), 89.041.149.952 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\Programme\Gemeinsame Dateien

13.05.2008 09:52 <DIR> .
13.05.2008 09:52 <DIR> ..
29.03.2005 11:20 <DIR> Adobe
09.07.2005 05:29 <DIR> aol
09.07.2005 05:29 <DIR> aolshare
28.02.2007 13:23 <DIR> Designer
15.01.2005 22:51 <DIR> Dienste
15.01.2005 22:57 <DIR> InstallShield
28.03.2005 09:24 <DIR> Java
19.01.2007 11:09 <DIR> Lexware
28.03.2005 10:19 <DIR> Macromedia
20.09.2007 10:39 <DIR> Microsoft Shared
15.01.2005 22:51 <DIR> MSSoap
09.07.2005 05:29 <DIR> Nullsoft
16.01.2005 20:41 <DIR> NVIDIA Shared
15.01.2005 22:47 <DIR> ODBC
09.07.2005 05:29 <DIR> Real
15.01.2005 22:47 <DIR> SpeechEngines
20.05.2008 02:12 <DIR> Symantec Shared
28.02.2007 13:22 <DIR> System
0 Datei(en) 0 Bytes
20 Verzeichnis(se), 89.041.149.952 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 10C2-C101

Verzeichnis von C:\Windows\tasks

05.05.2008 09:53 582 Norton AntiVirus - Meinen Computer prfen - keller.ronny.job
16.05.2008 13:07 362 Symantec NetDetect.job
2 Datei(en) 944 Bytes
0 Verzeichnis(se), 89.041.149.952 Bytes frei

-----------------------------------------------------------------------

ComboFix 08-05-19.4 - keller.ronny 2008-05-20 11:35:08.7 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.263 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\keller.ronny\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\281198849
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\Malwarrior.exe
C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\TmpRecentIcons
C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\TmpRecentIcons\CCleaner.lnk
C:\prkh.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-20 bis 2008-05-20 ))))))))))))))))))))))))))))))
.

2008-05-19 11:36 . 2008-05-19 11:36 <DIR> d-------- C:\Programme\CCleaner
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-19 10:02 . 2008-05-20 11:35 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-19 10:02 . 2005-07-09 05:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2008-05-19 10:02 . 2005-01-15 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec
2008-05-19 10:02 . 2005-07-09 05:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-19 10:02 . 2008-05-19 11:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-19 10:02 . 2008-05-20 11:19 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-05-16 13:37 . 2008-05-16 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmenü
2008-05-16 13:36 . 2008-05-16 13:37 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-04-28 09:52 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-04-28 09:52 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-04-28 09:52 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-20 09:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-04-11 11:10 316 ----a-w C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\wklnhst.dat
.

------- Sigcheck -------

2004-08-04 05:00 510464 62c9b901da3bfb29fda1d07b4d582da8 C:\WINDOWS\system32\winlogon.exe

md5deep: C:\WINDOWS\explorer.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied
.
((((((((((((((((((((((((((((( snapshot@2008-05-20_11.20.21,89 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-19 12:08:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-20 09:30:36 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]
"eRecoveryService"="" []
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-18 10:24 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-08-04 10:49 58992]

C:\Dokumente und Einstellungen\keller.ronny\Startmen\Programme\Autostart\
Launch K9.lnk - C:\Programme\KeirNet\K9\K9.exe [2004-04-18 21:43:44 82944]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-29 11:21:07 110592]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ObEjcC"= {10C2C102-BA68-6BA8-EE70-57A451F76353} - C:\WINDOWS\system32\eyzaulk.dll [2004-08-04 05:00 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"\\findfast.exe"=

R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys [2005-02-11 19:11]
S3 int15.sys;int15.sys;C:\Programme\acer\eRecovery\int15.sys [2005-01-13 14:46]

*Newly Created Service* - catchme
.
Inhalt des "geplante Tasks" Ordners
"2008-05-05 07:53:18 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen - keller.ronny.job"
- C:\PROGRA~1\NORTON~1\Navw32.exe
"2008-05-16 11:07:33 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-20 11:35:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-20 11:35:58
ComboFix-quarantined-files.txt 2008-05-20 09:35:56
ComboFix2.txt 2008-05-20 09:20:31
ComboFix3.txt 2008-05-20 07:53:26

15 Verzeichnis(se), 89,011,961,856 Bytes frei
17 Verzeichnis(se), 89,004,359,680 Bytes frei

118

-----------------------------------------------------------------------

Gmer

GMER 1.0.14.14205 - http://www.gmer.net
Rootkit scan 2008-05-20 11:46:07
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.14 ----

SSDT 819E22C0 ZwConnectPort
SSDT 819D0290 ZwOpenProcess
SSDT 819C8290 ZwOpenThread

---- Kernel code sections - GMER 1.0.14 ----

? Combo-Fix.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Das System kann die angegebene Datei nicht finden. !
? C:\ComboFix\catchme.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.rsrc Sections: C:\WINDOWS\system32\winlogon.exe[676] C:\WINDOWS\system32\winlogon.exe section is executable [0x01076000, 0xC000, 0x60000060]
.rsrc Sections: C:\WINDOWS\system32\winlogon.exe[676] C:\WINDOWS\system32\winlogon.exe entry point in ".rsrc" section [0x01081000]
.rsrc Sections: C:\WINDOWS\system32\services.exe[724] C:\WINDOWS\system32\services.exe section is executable [0x0101B000, 0x2000, 0x60000060]
.rsrc Sections: C:\WINDOWS\system32\services.exe[724] C:\WINDOWS\system32\services.exe entry point in ".rsrc" section [0x0101C000]
.reloc Sections: C:\WINDOWS\explorer.exe[916] C:\WINDOWS\explorer.exe section is executable [0x010FB000, 0x5000, 0x62000060]
.reloc Sections: C:\WINDOWS\explorer.exe[916] C:\WINDOWS\explorer.exe entry point in ".reloc" section [0x010FF000]
.text C:\Programme\MSN Messenger\MsnMsgr.Exe[1556] kernel32.dll!SetUnhandledExceptionFilter 7C810386 5 Bytes JMP 004DE392 C:\Programme\MSN Messenger\MsnMsgr.Exe (Messenger/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)

---- EOF - GMER 1.0.14 ----

20.05.2008, 12:07

Sabina

Ehrenmitglied

Beiträge: 29434

#6 ««
erstelle eine neue cfscript.txt /Änderung der erst erstellten zulassen) - dann wieder auf das Symbol von Combofix ziehen + erneut anwenden

Zitat

KILLALL::

Folder::
C:\Program Files\BraveSentry

««
scanne mit avz + poste den report
http://virus-protect.org/artikel/tools/avz.html
__________
MfG Sabina

rund um die PC-Sicherheit

20.05.2008, 12:33

KMD

Member

Themenstarter

Beiträge: 12

#7 ComboFix 08-05-19.4 - keller.ronny 2008-05-20 12:26:09.9 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.261 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\keller.ronny\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Program Files\BraveSentry
C:\Program Files\BraveSentry\BraveSentry.exe
C:\Program Files\BraveSentry\BraveSentry.lic
C:\Program Files\BraveSentry\BraveSentry0.bs
C:\Program Files\BraveSentry\BraveSentry0.dll
C:\Program Files\BraveSentry\BraveSentry1.bs
C:\Program Files\BraveSentry\BraveSentry2.dll
C:\Program Files\BraveSentry\BraveSentry3.dll
C:\Program Files\BraveSentry\Uninstall.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-20 bis 2008-05-20 ))))))))))))))))))))))))))))))
.

2008-05-20 11:39 . 2008-05-20 11:39 250 --a------ C:\WINDOWS\gmer.ini
2008-05-19 11:36 . 2008-05-19 11:36 <DIR> d-------- C:\Programme\CCleaner
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-19 10:02 . 2008-05-20 12:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-19 10:02 . 2005-07-09 05:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2008-05-19 10:02 . 2005-01-15 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec
2008-05-19 10:02 . 2005-07-09 05:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-19 10:02 . 2008-05-19 11:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-19 10:02 . 2008-05-20 11:19 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-05-16 13:37 . 2008-05-16 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmenü
2008-05-16 13:36 . 2008-05-16 13:37 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-04-28 09:52 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-04-28 09:52 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-04-28 09:52 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-20 09:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-04-11 11:10 316 ----a-w C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\wklnhst.dat
.

------- Sigcheck -------

2004-08-04 05:00 510464 62c9b901da3bfb29fda1d07b4d582da8 C:\WINDOWS\system32\winlogon.exe

md5deep: C:\WINDOWS\explorer.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied
.
((((((((((((((((((((((((((((( snapshot@2008-05-20_11.20.21,89 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-19 12:08:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-20 10:23:07 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-20 09:39:33 819,200 ----a-w C:\WINDOWS\gmer.dll
+ 2008-03-03 18:29:06 761,856 ----a-w C:\WINDOWS\gmer.exe
+ 2008-05-20 09:39:33 86,097 ----a-w C:\WINDOWS\system32\drivers\gmer.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]
"eRecoveryService"="" []
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-18 10:24 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-08-04 10:49 58992]

C:\Dokumente und Einstellungen\keller.ronny\Startmen\Programme\Autostart\
Launch K9.lnk - C:\Programme\KeirNet\K9\K9.exe [2004-04-18 21:43:44 82944]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-29 11:21:07 110592]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ObEjcC"= {10C2C102-BA68-6BA8-EE70-57A451F76353} - C:\WINDOWS\system32\eyzaulk.dll [2004-08-04 05:00 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"\\findfast.exe"=

R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys [2005-02-11 19:11]
S3 int15.sys;int15.sys;C:\Programme\acer\eRecovery\int15.sys [2005-01-13 14:46]

*Newly Created Service* - catchme
.
Inhalt des "geplante Tasks" Ordners
"2008-05-05 07:53:18 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen - keller.ronny.job"
- C:\PROGRA~1\NORTON~1\Navw32.exe
"2008-05-16 11:07:33 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-20 12:26:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-20 12:27:00
ComboFix-quarantined-files.txt 2008-05-20 10:26:58
ComboFix2.txt 2008-05-20 09:36:00
ComboFix3.txt 2008-05-20 09:20:31
ComboFix4.txt 2008-05-20 07:53:26

15 Verzeichnis(se), 88,982,773,760 Bytes frei
18 Verzeichnis(se), 88,975,237,120 Bytes frei

126

------------------------------------------------------------------------

AVZ-Log

Attention !!! Database was last updated 06.04.2008 it is necessary to update the bases using automatic updates (File/Database update)
AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 20.05.2008 12:28:40
Database loaded: signatures - 157571, NN profile(s) - 2, microprograms of healing - 55, signature database released 06.04.2008 17:09
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 70476
Heuristic analyzer mode: Medium heuristics level
Healing mode: disabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=07B180)
Kernel ntkrnlpa.exe found in memory at address 804D7000
SDT = 80552180
KiST = 80501030 (284)
Function NtConnectPort (1F) intercepted (8059843A->819E32C0), hook not defined
Function NtOpenProcess (7A) intercepted (805BFB78->819D3290), hook not defined
Function NtOpenThread (80) intercepted (805BFE04->819C5290), hook not defined
Functions checked: 284, intercepted: 3, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking of IRP handlers
Checking - complete
2. Scanning memory
Number of processes found: 31
Direct reading c:\windows\system32\services.exe
Direct reading c:\windows\system32\lsass.exe
Direct reading c:\windows\system32\spoolsv.exe
Direct reading c:\windows\explorer.exe
Number of modules loaded: 306
Scanning memory - complete
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
Checking - complete
Files scanned: 337, extracted from archives: 0, malicious software found 0, suspicions - 0
Scanning finished at 20.05.2008 12:28:56
Time of scanning: 00:00:17
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

20.05.2008, 12:41

Sabina

Ehrenmitglied

Beiträge: 29434

#8 ««

Lade sdfix
http://virus-protect.org/artikel/tools/sdfix.html

1.
boote in den abgesicherten Modus - wende dort sdfix an (RunThis.bat) + poste den report

2.
dann sdifix wieder anwenden + im Normalmodus
reinschreiben: 1
1 : es wird a-squared geladen - scanne + poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

20.05.2008, 13:51

KMD

Member

Themenstarter

Beiträge: 12

#9 Hallo Sabina,

ich werde dir die Reports wohl erst morgen posten da ich gleich weg muss.
ÜBRIGENS: beim Scannen (Im Normalmodus) wurden einige Sachen gefunden, bis der Scan sich mittendrinn (einfach von alleine) ohne Report geschlossen hat. Habe den Scan jetzt nochmal gestartet.

Bis Morgen! Grüße aus Bayern!
KMD

20.05.2008, 13:57

Sabina

Ehrenmitglied

Beiträge: 29434

#10 O.k.--- bis morgen

..................
__________
MfG Sabina

rund um die PC-Sicherheit

21.05.2008, 10:26

KMD

Member

Themenstarter

Beiträge: 12

#11 Hallo Sabina, hier bin ich schon wieder ;-)

Hier die Reports:

--------------------------------------------------------------------------

Report des Abgesicherten Modus:

SDFix: Version 1.183
Run by Administrator on 20.05.2008 at 13:04

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-20 13:14:45
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe:*:Enabled:Remoteuntersttzung - Windows Messenger und Voice"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"\\findfast.exe"="\\findfast.exe:*:Enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Dokumente und Einstellungen\\LocalService\\Anwendungsdaten\\printer.exe"="C:\\Dokumente und Einstellungen\\LocalService\\Anwendungsdaten\\printer.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\printer.exe"="C:\\WINDOWS\\system32\\printer.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\spoolvs.exe"="C:\\WINDOWS\\system32\\spoolvs.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\shell.exe"="C:\\WINDOWS\\shell.exe:*:Enabled:@xpsp2res.dll,-22019"
"\\findfast.exe"="\\findfast.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\Dokumente und Einstellungen\\All Users\\Startmen\\Programme\\Autostart\\autorun.exe"="C:\\Dokumente und Einstellungen\\All Users\\Startmen\\Programme\\Autostart\\autorun.exe:*:Enabled:@xpsp2res.dll,-22019"
"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\Dokumente und Einstellungen\\keller.ronny\\Startmen\\Programme\\Autostart\\findfast.exe"="C:\\Dokumente und Einstellungen\\keller.ronny\\Startmen\\Programme\\Autostart\\findfast.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\Dokumente und Einstellungen\\keller.ronny\\Anwendungsdaten\\mcrupdate.exe"="C:\\Dokumente und Einstellungen\\keller.ronny\\Anwendungsdaten\\mcrupdate.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\Dokumente und Einstellungen\\Administrator\\Startmen\\Programme\\Autostart\\findfast.exe"="C:\\Dokumente und Einstellungen\\Administrator\\Startmen\\Programme\\Autostart\\findfast.exe:*:Enabled:@xpsp2res.dll,-22019"

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 25 Feb 2004 54,384 A..H. --- "C:\Programme\AOL 9.0\aolphx.exe"
Wed 25 Feb 2004 156,784 A..H. --- "C:\Programme\AOL 9.0\aoltray.exe"
Wed 25 Feb 2004 31,344 A..H. --- "C:\Programme\AOL 9.0\RBM.exe"
Mon 19 Jan 2004 428,544 A..H. --- "C:\Programme\AOL 9.0\StartSM.exe"
Sat 15 Jan 2005 1,024 A..HR --- "C:\WINDOWS\system32\NTICDMK32.dll"
Sat 15 Jan 2005 1,024 A..HR --- "C:\WINDOWS\system32\ntiembed.dll"
Sat 15 Jan 2005 1,024 A..HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
Sun 18 Mar 2007 3,031,040 A.SH. --- "C:\Dokumente und Einstellungen\keller.ronny\Desktop\Stick Ronny Keller\heidi portrait\SIV3.tmp"
Wed 22 Jun 2005 21,504 A..H. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\Datensicherung Andrea\C\Eigene Dateien\Arbeitslisten\~WRL0004.tmp"
Wed 22 Jun 2005 23,040 A..H. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\Datensicherung Andrea\C\Eigene Dateien\Arbeitslisten\~WRL2306.tmp"
Wed 22 Jun 2005 21,504 A..H. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\Datensicherung Andrea\Desktop\Eigene Dateien\Arbeitslisten\~WRL0004.tmp"
Wed 22 Jun 2005 23,040 A..H. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\Datensicherung Andrea\Desktop\Eigene Dateien\Arbeitslisten\~WRL2306.tmp"

Finished!

--------------------------------------------------------------------------

Report des Normal-Modus (Quarantine_Report einen anderen habe ich nicht bekommen oder weiss nicht wie ich diesen abrufe oder Finde)

a-squared Command Line Scanner v. 3.5.0.18
(C) 2003-2008 Emsi Software GmbH - www.emsisoft.com

ID Object
0 C:\QooBox\Quarantine\C\Program Files\BraveSentry\BraveSentry.exe.vir detected: Riskware.FraudTool.Win32.BraveSentry.m
1 C:\QooBox\Quarantine\C\Program Files\BraveSentry\BraveSentry0.dll.vir detected: Riskware.FraudTool.Win32.BraveSentry.b
2 C:\QooBox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\Malwarrior.exe.vir detected: Riskware.FraudTool.Win32.MalWarrior.r
3 Key: HKEY_CURRENT_USER\software\kazaa detected: Trace.Registry.KaZaA
4 C:\Dokumente und Einstellungen\keller.ronny\Desktop\board protecus\SmitfraudFix.zip detected:
5 C:\SDFix\apps\Process.exe detected: Riskware.RiskTool.Win32.Processor.20
6 C:\Dokumente und Einstellungen\keller.ronny\Desktop\SmitfraudFix\SmitfraudFix\Process.exe detected: Riskware.RiskTool.Win32.Processor.20
7 C:\Dokumente und Einstellungen\keller.ronny\Desktop\board protecus\SmitfraudFix\SmitfraudFix\Process.exe detected: Riskware.RiskTool.Win32.Processor.20
8 C:\Dokumente und Einstellungen\keller.ronny\Desktop\SmitfraudFix\SmitfraudFix\Reboot.exe detected: Riskware.RiskTool.Win32.Reboot.f
9 C:\QooBox\Quarantine\C\Program Files\BraveSentry\BraveSentry3.dll.vir detected: Riskware.FraudTool.Win32.BraveSentry.b
10 C:\QooBox\Quarantine\C\Program Files\BraveSentry\BraveSentry2.dll.vir detected: Riskware.FraudTool.Win32.BraveSentry.b
11 C:\WINDOWS\system32\Check.exe detected: Trojan-PSW.Win32.WOW.lq
12 C:\Dokumente und Einstellungen\keller.ronny\Lokale Einstellungen\Tempmbroit.exe detected: Trojan-Dropper.Win32.Agent.cjc
13 C:\Dokumente und Einstellungen\keller.ronny\Desktop\SDFix.exe detected:
14 C:\Dokumente und Einstellungen\keller.ronny\Desktop\board protecus\SmitfraudFix\SmitfraudFix\Reboot.exe detected: Riskware.RiskTool.Win32.Reboot

--------------------------------------------------------------------------

Grüße KMD

EDIT Sabina

Zitat

http://www.sophos.com/security/analyses/viruses-and-spyware/trojagentglj.html
Troj/Agent-GLJ includes functionality to access the internet and communicate with a remote server via HTTP.

When Troj/Agent-GLJ is executed, several files are dropped:

<Startup>\autorun.exe
<User>\Application Data\printer.exe
<Temp>\1.bat
<Startup>\findfast.exe
<Windows>\shell.exe
<System>\printer.exe
<System>\spoolvs.exe
<System>\wowfx.dll

Nachtrag:
bin etwas verwirrt! Wo kommt das zitat ^^^ in meinem Post her??? Von mir ist es nicht!

Dieser Beitrag wurde am 21.05.2008 um 11:58 Uhr von KMD editiert.

21.05.2008, 11:57

Sabina

Ehrenmitglied

Beiträge: 29434

#12 ««
ich kopiere die zitate rein, damit ich was zum "festhalten" hab

''
das muss noch bereinigt werden...
http://www.sophos.com/security/analyses/viruses-and-spyware/trojagentglj.html

-----------------------------------------------------------

««
Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\winav.exe
C:\WINDOWS\system32\spoolvs.exe
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\wowfx.dll
C:\Dokumente und Einstellungen\Administrator\Startmen\Programme\Autostart\findfast.exe
C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\mcrupdate.exe
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\printer.exe
C:\WINDOWS\shell.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren

------------------------------------------------------------------
««
erstelle eine neue cfscript.txt /Änderung der erst erstellten zulassen) - dann wieder auf das Symbol von Combofix ziehen + erneut anwenden

Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"\\findfast.exe"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\\Dokumente und Einstellungen\\LocalService\\Anwendungsdaten\\printer.exe"=-
"C:\\WINDOWS\\system32\\printer.exe"=-
"C:\\WINDOWS\\system32\\spoolvs.exe"=-
"C:\\WINDOWS\\shell.exe"=-
"\\findfast.exe"=-
"C:\\Dokumente und Einstellungen\\All Users\\Startmen\\Programme\\Autostart\\autorun.exe"=-
"%windir%\\system32\\winav.exe"=-
"C:\\Dokumente und Einstellungen\\keller.ronny\\Startmen\\Programme\\Autostart\\findfast.exe"=-
"C:\\Dokumente und Einstellungen\\keller.ronny\\Anwendungsdaten\\mcrupdate.exe"=-
"C:\\Dokumente und Einstellungen\\Administrator\\Startmen\\Programme\\Autostart\\findfast.exe"=-

File::
C:\WINDOWS\system32\Check.exe
C:\Dokumente und Einstellungen\keller.ronny\Lokale Einstellungen\Tempmbroit.exe

------------------------------------------------------------

««
wende dialfix an , hake alls an + berichte, ob die windowsupdates funktionieren
http://virus-protect.org/artikel/tools/dial_a_fix.html

~~~~~~~~

««
http://virus-protect.org/artikel/tools/sdfix.html
sdfix - im normalmodus
RunThis.bat doppelt klicken
3 : wird Sophos geladen

bei Option 6 - erfolgt ein Fullscan + löschen der infizierten Dateien

poste den report.
__________
MfG Sabina

rund um die PC-Sicherheit

21.05.2008, 12:40

KMD

Member

Themenstarter

Beiträge: 12

#13 Hallo Sabina,

folgende Dateien konnte ich auf meinem System nicht finden!

C:\WINDOWS\system32\winav.exe
C:\WINDOWS\system32\spoolvs.exe dafür eine "spoolsv.exe"
C:\WINDOWS\system32\printer.exe dafür eine "print.exe"
C:\WINDOWS\system32\wowfx.dll
C:\Dokumente und Einstellungen\Administrator\Startmen\Programme\Autostart\findfast.exe
C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\mcrupdate.exe
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\printer.exe (Ordner LocalService existiert nicht)
C:\WINDOWS\shell.exe

Sozusagen konnte ich alle nicht finden.
Wie soll ich jetzt weiter machen?
Das cfscript.txt script habe ich jetzt noch nicht angewendet!

Grüße KMD

21.05.2008, 12:43

Sabina

Ehrenmitglied

Beiträge: 29434

#14 wende das script an , damit die reg-Einträge bereinigt werden.
dann scanne mit sophos laut anleitung + poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

21.05.2008, 14:08

KMD

Member

Themenstarter

Beiträge: 12

#15 ComboFix 08-05-19.4 - keller.ronny 2008-05-21 13:03:33.13 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.264 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\keller.ronny\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-21 bis 2008-05-21 ))))))))))))))))))))))))))))))
.

2008-05-20 12:55 . 2008-05-20 12:55 <DIR> d-------- C:\WINDOWS\ERUNT
2008-05-20 12:52 . 2008-05-21 11:16 <DIR> d-------- C:\SDFix
2008-05-20 11:39 . 2008-05-20 11:39 250 --a------ C:\WINDOWS\gmer.ini
2008-05-19 11:36 . 2008-05-19 11:36 <DIR> d-------- C:\Programme\CCleaner
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-19 10:02 . 2008-05-21 13:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-19 10:02 . 2005-07-09 05:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-19 10:02 . 2005-07-09 05:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2008-05-19 10:02 . 2005-01-15 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec
2008-05-19 10:02 . 2005-07-09 05:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AOL
2008-05-19 10:02 . 2005-01-15 22:47 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-19 10:02 . 2008-05-19 11:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-19 10:02 . 2008-05-20 13:12 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-05-16 13:37 . 2008-05-16 13:37 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmenü
2008-05-16 13:36 . 2008-05-16 13:37 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-04-28 09:52 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-04-28 09:52 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-04-28 09:52 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-04-28 09:52 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-21 10:55 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-04-11 11:10 316 ----a-w C:\Dokumente und Einstellungen\keller.ronny\Anwendungsdaten\wklnhst.dat
.

------- Sigcheck -------

2004-08-04 05:00 510464 62c9b901da3bfb29fda1d07b4d582da8 C:\WINDOWS\system32\winlogon.exe

md5deep: C:\WINDOWS\explorer.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\services.exe: error at offset 0: Permission denied

md5deep: C:\WINDOWS\system32\lsass.exe: error at offset 0: Permission denied
.
((((((((((((((((((((((((((((( snapshot@2008-05-20_11.20.21,89 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-19 12:08:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-21 11:00:43 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-17 00:22:37 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-05-20 11:03:01 815,104 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2008-05-20 11:03:01 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-05-17 00:22:37 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-05-20 10:55:49 815,104 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2008-05-20 10:55:49 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
+ 2008-05-20 09:39:33 819,200 ----a-w C:\WINDOWS\gmer.dll
+ 2008-03-03 18:29:06 761,856 ----a-w C:\WINDOWS\gmer.exe
- 2008-05-19 09:59:19 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-05-21 08:18:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-05-19 09:59:19 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-05-21 08:18:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-05-19 09:59:19 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-05-21 08:18:59 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-05-20 09:39:33 86,097 ----a-w C:\WINDOWS\system32\drivers\gmer.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]
"eRecoveryService"="" []
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-18 10:24 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-08-04 10:49 58992]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-29 11:21:07 110592]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ObEjcC"= {10C2C102-BA68-6BA8-EE70-57A451F76353} - C:\WINDOWS\system32\eyzaulk.dll [2004-08-04 05:00 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=

R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys [2005-02-11 19:11]
S3 int15.sys;int15.sys;C:\Programme\acer\eRecovery\int15.sys [2005-01-13 14:46]

*Newly Created Service* - catchme
.
Inhalt des "geplante Tasks" Ordners
"2008-05-05 07:53:18 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen - keller.ronny.job"
- C:\PROGRA~1\NORTON~1\Navw32.exel/task:
"2008-05-16 11:07:33 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-21 13:04:05
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-21 13:04:26
ComboFix-quarantined-files.txt 2008-05-21 11:04:20
ComboFix2.txt 2008-05-21 10:57:20
ComboFix3.txt 2008-05-20 10:27:01
ComboFix4.txt 2008-05-20 09:36:00
ComboFix5.txt 2008-05-20 09:20:31

16 Verzeichnis(se), 88,830,390,272 Bytes frei
18 Verzeichnis(se), 88,822,939,648 Bytes frei

120

--------------------------------------------------------------
--------------------------------------------------------------
--------------------------------------------------------------

Dial fix ist durchgelaufen. Alle Häkchen auser "Tooltips" haben sich dabei deaktiviert. Keine Anhnung ob das seine Richtigkeit hat.

Hier das Log:

Notes about this log:
1) "->" denotes an external command being executed, and "-> (number)" indicates
the return code from the previous command
2) Not all external command return codes are accurate, or useful
3) Sometimes commands return 0 (no error) even when they fail or crash
4) If an error occurs while registering an object, please send an email to:
dial-a-fix@DjLizard.net and include a copy of this log

DAF version: v0.60.0.24

--- System info ---
OS: Microsoft Windows XP Service Pack 2
IE version: 6.0.2900.2180
MPC: 76416-OEM
CPU: AMD Athlon(tm) 64 Processor 3400+ (~2220MHz)
CPU: CPU is 64-bit or has 64-bit extensions
BIOS: 19.04.2005
Memory (approx): 511MB
Uptime: 0 hour(s)
Current directory: C:\Dokumente und Einstellungen\keller.ronny\Desktop\Dial-a-fix
---

21.05.2008 13:07:09 -- Dial-a-fix : [v0.60.0.24] -- started
13:07:09 | Policy scan started
13:07:09 | Policy scan ended - no restrictive policies were found
--- Emptying temp folders ---
13:09:28 | Deleting C:\Dokumente und Einstellungen\keller.ronny\Lokale Einstellungen\Temp...
13:09:28 | C:\Dokumente und Einstellungen\keller.ronny\Lokale Einstellungen\Temp could not be completely emptied, please reboot and try again
13:09:28 | Deleting C:\WINDOWS\temp...
13:09:29 | C:\WINDOWS\temp has been re-created
13:09:29 | Deleting C:\DOKUME~1\KELLER~1.RON\LOKALE~1\Temp...
13:09:29 | C:\DOKUME~1\KELLER~1.RON\LOKALE~1\Temp could not be completely emptied, please reboot and try again
--- MSI ---
13:10:10 | Registered: C:\WINDOWS\system32\msi.dll
--- Windows Update ---
--- Registration: Windows Update/Automatic Update DLLs ---
13:10:15 | Unregistered: C:\WINDOWS\system32\msxml.dll
13:10:15 | Registered: C:\WINDOWS\system32\msxml.dll
13:10:15 | Unregistered: C:\WINDOWS\system32\msxml2.dll
13:10:16 | Registered: C:\WINDOWS\system32\msxml2.dll
13:10:16 | Unregistered: C:\WINDOWS\system32\msxml3.dll
13:10:16 | Registered: C:\WINDOWS\system32\msxml3.dll
13:10:16 | Unregistered: C:\WINDOWS\system32\msxml4.dll
13:10:16 | Registered: C:\WINDOWS\system32\msxml4.dll
13:10:16 | Unregistered: C:\WINDOWS\system32\qmgr.dll
13:10:16 | Registered: C:\WINDOWS\system32\qmgr.dll
13:10:16 | Unregistered: C:\WINDOWS\system32\qmgrprxy.dll
13:10:16 | Registered: C:\WINDOWS\system32\qmgrprxy.dll
13:10:16 | Unregistered: C:\WINDOWS\system32\winhttp.dll
13:10:16 | Registered: C:\WINDOWS\system32\winhttp.dll
13:10:16 | Registered: C:\WINDOWS\system32\wuapi.dll
13:10:17 | Unregistered: C:\WINDOWS\system32\wuaueng.dll
13:10:17 | Registered: C:\WINDOWS\system32\wuaueng.dll
13:10:17 | Unregistered: C:\WINDOWS\system32\wuaueng1.dll
13:10:17 | Registered: C:\WINDOWS\system32\wuaueng1.dll
13:10:17 | Unregistered: C:\WINDOWS\system32\wucltui.dll
13:10:17 | Registered: C:\WINDOWS\system32\wucltui.dll
13:10:17 | Unregistered: C:\WINDOWS\system32\wups.dll
13:10:17 | Registered: C:\WINDOWS\system32\wups.dll
13:10:17 | Unregistered: C:\WINDOWS\system32\wups2.dll
13:10:17 | Registered: C:\WINDOWS\system32\wups2.dll
13:10:17 | Unregistered: C:\WINDOWS\system32\wuweb.dll
13:10:17 | Registered: C:\WINDOWS\system32\wuweb.dll
13:10:17 | Registered: C:\WINDOWS\system32\ole32.dll
--- SSL/HTTPS/Cryptography ---
13:10:29 | Executed 'cmd.exe /c rmdir /q /s C:\WINDOWS\system32\Catroot2'
--- Registration: SSL/HTTPS/Cryptography ---
13:10:33 | Unregistered: C:\WINDOWS\system32\cryptdlg.dll
13:10:33 | Registered: C:\WINDOWS\system32\cryptdlg.dll
13:10:33 | Unregistered: C:\WINDOWS\system32\cryptui.dll
13:10:33 | Registered: C:\WINDOWS\system32\cryptui.dll
13:10:33 | Unregistered: C:\WINDOWS\system32\cryptext.dll
13:10:33 | Registered: C:\WINDOWS\system32\cryptext.dll
13:10:33 | Unregistered: C:\WINDOWS\system32\dssenh.dll
13:10:33 | Registered: C:\WINDOWS\system32\dssenh.dll
13:10:33 | Unregistered: C:\WINDOWS\system32\gpkcsp.dll
13:10:33 | Registered: C:\WINDOWS\system32\gpkcsp.dll
13:10:33 | Unregistered: C:\WINDOWS\system32\initpki.dll
13:10:50 | Registered: C:\WINDOWS\system32\initpki.dll
13:10:50 | Unregistered: C:\WINDOWS\system32\licdll.dll
13:10:50 | Registered: C:\WINDOWS\system32\licdll.dll
13:10:50 | Unregistered: C:\WINDOWS\system32\mssign32.dll
13:10:50 | Registered: C:\WINDOWS\system32\mssign32.dll
13:10:50 | Unregistered: C:\WINDOWS\system32\mssip32.dll
13:10:50 | Registered: C:\WINDOWS\system32\mssip32.dll
13:10:50 | Unregistered: C:\WINDOWS\system32\scardssp.dll
13:10:50 | Registered: C:\WINDOWS\system32\scardssp.dll
13:10:51 | Unregistered: C:\WINDOWS\system32\sccbase.dll
13:10:51 | Registered: C:\WINDOWS\system32\sccbase.dll
13:10:51 | Unregistered: C:\WINDOWS\system32\scecli.dll
13:10:51 | Registered: C:\WINDOWS\system32\scecli.dll
13:10:51 | Unregistered: C:\WINDOWS\system32\softpub.dll
13:10:51 | Registered: C:\WINDOWS\system32\softpub.dll
13:10:51 | Unregistered: C:\WINDOWS\system32\slbcsp.dll
13:10:51 | Registered: C:\WINDOWS\system32\slbcsp.dll
13:10:51 | Unregistered: C:\WINDOWS\system32\regwizc.dll
13:10:51 | Registered: C:\WINDOWS\system32\regwizc.dll
13:10:51 | Unregistered: C:\WINDOWS\system32\rsaenh.dll
13:10:51 | Registered: C:\WINDOWS\system32\rsaenh.dll
13:10:51 | Unregistered: C:\WINDOWS\system32\winhttp.dll
13:10:51 | Registered: C:\WINDOWS\system32\winhttp.dll
13:10:51 | Unregistered: C:\WINDOWS\system32\wintrust.dll
13:10:51 | Registered: C:\WINDOWS\system32\wintrust.dll
--- Registration: ActiveX controls/codecs ---
13:10:51 | Registered: C:\WINDOWS\system32\acelpdec.ax
13:10:51 | Registered: C:\WINDOWS\system32\actxprxy.dll
13:10:51 | Registered: C:\WINDOWS\system32\asctrls.ocx
13:10:51 | Registered: C:\WINDOWS\system32\daxctle.ocx
13:10:51 | Registered: C:\WINDOWS\system32\hhctrl.ocx
13:10:51 | Registered: C:\WINDOWS\system32\l3codecx.ax
13:10:51 | Registered: C:\WINDOWS\system32\licmgr10.dll
13:10:51 | Registered: C:\WINDOWS\system32\mpg4ds32.ax
13:10:52 | Registered: C:\WINDOWS\system32\msdxm.ocx
13:10:52 | Registered: C:\WINDOWS\system32\plugin.ocx
13:10:52 | Registered: C:\WINDOWS\system32\proctexe.ocx
13:10:52 | Registered: C:\WINDOWS\system32\tdc.ocx
13:10:52 | Registered: C:\WINDOWS\system32\wshom.ocx
--- Registration: Control Panel applets ---
13:10:53 | DllInstalled: C:\WINDOWS\system32\inetcpl.cpl
13:10:53 | DllInstalled: C:\WINDOWS\system32\appwiz.cpl
13:10:53 | Registered: C:\WINDOWS\system32\appwiz.cpl
13:10:53 | DllInstalled: C:\WINDOWS\system32\nusrmgr.cpl
13:10:53 | Registered: C:\WINDOWS\system32\nusrmgr.cpl
--- Registration: Direct[X|Draw|Show|Media] ---
13:10:53 | Registered: C:\WINDOWS\system32\quartz.dll
13:10:53 | Registered: C:\WINDOWS\system32\danim.dll
13:10:53 | Registered: C:\WINDOWS\system32\dmscript.dll
13:10:53 | Registered: C:\WINDOWS\system32\dmstyle.dll
13:10:53 | Registered: C:\WINDOWS\system32\dxmasf.dll
13:10:54 | Registered: C:\WINDOWS\system32\dxtmsft.dll
13:10:54 | Registered: C:\WINDOWS\system32\dxtrans.dll
13:10:54 | Registered: C:\WINDOWS\system32\sbe.dll
--- Registration: Programming cores/runtimes ---
13:10:54 | Registered: C:\WINDOWS\system32\atl.dll
13:10:54 | Registered: C:\WINDOWS\system32\corpol.dll
13:10:54 | Registered: C:\WINDOWS\system32\jscript.dll
13:10:54 | Registered: C:\WINDOWS\system32\dispex.dll
13:10:54 | Registered: C:\WINDOWS\system32\scrrun.dll
13:10:54 | Registered: C:\WINDOWS\system32\scrobj.dll
13:10:54 | Registered: C:\WINDOWS\system32\vbscript.dll
13:10:54 | Registered: C:\WINDOWS\system32\wshext.dll
--- Registration: Explorer/IE/OE/shell/WMP ---
13:10:54 | Registered: C:\WINDOWS\system32\activeds.dll
13:10:54 | DllInstalled: C:\WINDOWS\system32\browseui.dll
13:10:54 | Registered: C:\WINDOWS\system32\browseui.dll
13:10:54 | Registered: C:\WINDOWS\system32\browsewm.dll
13:10:54 | Registered: C:\WINDOWS\system32\cabview.dll
13:10:54 | Registered: C:\WINDOWS\system32\cdfview.dll
13:10:54 | Registered: C:\WINDOWS\system32\clbcatex.dll
13:10:54 | Registered: C:\WINDOWS\system32\clbcatq.dll
13:10:54 | Registered: C:\WINDOWS\system32\comcat.dll
13:10:54 | Registered: C:\WINDOWS\system32\cscui.dll
13:10:54 | Registered: C:\WINDOWS\system32\credui.dll
13:10:54 | Registered: C:\WINDOWS\system32\datime.dll
13:10:54 | Registered: C:\WINDOWS\system32\devmgr.dll
13:10:55 | Registered: C:\WINDOWS\system32\dfsshlex.dll
13:10:55 | Registered: C:\WINDOWS\system32\dmdlgs.dll
13:10:55 | Registered: C:\WINDOWS\system32\dmdskmgr.dll
13:10:55 | Registered: C:\WINDOWS\system32\dmloader.dll
13:10:55 | Registered: C:\WINDOWS\system32\dmocx.dll
13:10:55 | Registered: C:\WINDOWS\system32\dmview.ocx
13:10:55 | DllInstalled: C:\WINDOWS\system32\dsuiext.dll
13:10:55 | Registered: C:\WINDOWS\system32\dsuiext.dll
13:10:55 | DllInstalled: C:\WINDOWS\system32\dsquery.dll
13:10:55 | Registered: C:\WINDOWS\system32\dsquery.dll
13:10:55 | Registered: C:\WINDOWS\system32\dskquoui.dll
13:10:55 | Registered: C:\WINDOWS\system32\els.dll
13:10:55 | Registered: C:\WINDOWS\system32\es.dll
13:10:55 | Registered: C:\WINDOWS\system32\fontext.dll
13:10:55 | Registered: C:\WINDOWS\system32\hlink.dll
13:10:55 | Registered: C:\WINDOWS\system32\hnetcfg.dll
13:10:55 | Registered: C:\WINDOWS\system32\iedkcs32.dll
13:10:55 | Registered: C:\WINDOWS\system32\iepeers.dll
13:10:55 | DllInstalled: C:\WINDOWS\system32\iesetup.dll
13:10:55 | Registered: C:\WINDOWS\system32\iesetup.dll
13:10:55 | Registered: C:\WINDOWS\system32\ils.dll
13:10:55 | Registered: C:\WINDOWS\system32\imgutil.dll
13:10:55 | Registered: C:\WINDOWS\system32\inetcfg.dll
13:10:56 | Registered: C:\WINDOWS\system32\inetcomm.dll
13:10:56 | DllInstalled: C:\WINDOWS\system32\inseng.dll
13:10:56 | Registered: C:\WINDOWS\system32\inseng.dll
13:10:56 | Registered: C:\WINDOWS\system32\laprxy.dll
13:10:56 | Registered: C:\WINDOWS\system32\lmrt.dll
13:10:56 | Registered: C:\WINDOWS\system32\mlang.dll
13:10:56 | Registered: C:\WINDOWS\system32\mmcndmgr.dll
13:10:56 | Registered: C:\WINDOWS\system32\mmcshext.dll
13:10:56 | DllInstalled: C:\WINDOWS\system32\mshtml.dll
13:10:56 | Registered: C:\WINDOWS\system32\mshtml.dll
13:10:57 | Registered: C:\WINDOWS\system32\mshtmled.dll
13:10:57 | Registered: C:\WINDOWS\system32\msieftp.dll
13:10:57 | Registered: C:\WINDOWS\system32\msoeacct.dll
13:10:57 | Registered: C:\WINDOWS\system32\msr2c.dll
13:10:57 | Registered: C:\WINDOWS\system32\msrating.dll
13:10:57 | DllInstalled: C:\WINDOWS\system32\mydocs.dll
13:10:57 | Registered: C:\WINDOWS\system32\mydocs.dll
13:10:57 | Registered: C:\WINDOWS\system32\mstime.dll
13:10:57 | Registered: C:\WINDOWS\system32\netcfgx.dll
13:10:57 | DllInstalled: C:\WINDOWS\system32\netplwiz.dll
13:10:57 | Registered: C:\WINDOWS\system32\netplwiz.dll
13:10:57 | Registered: C:\WINDOWS\system32\netman.dll
13:10:57 | Registered: C:\WINDOWS\system32\netshell.dll
13:10:57 | Registered: C:\WINDOWS\system32\ntmsevt.dll
13:10:57 | Registered: C:\WINDOWS\system32\ntmsmgr.dll
13:10:57 | DllInstalled: C:\WINDOWS\system32\ntmssvc.dll
13:10:57 | Registered: C:\WINDOWS\system32\ntmssvc.dll
13:10:57 | DllInstalled: C:\WINDOWS\system32\occache.dll
13:10:57 | Registered: C:\WINDOWS\system32\occache.dll
13:10:57 | Registered: C:\WINDOWS\system32\ole32.dll
13:10:58 | Registered: C:\WINDOWS\system32\oleaut32.dll
13:10:58 | Registered: C:\WINDOWS\system32\oleacc.dll
13:10:58 | Registered: C:\WINDOWS\system32\olepro32.dll
13:10:58 | DllInstalled: C:\WINDOWS\system32\photowiz.dll
13:10:58 | Registered: C:\WINDOWS\system32\photowiz.dll
13:10:58 | Registered: C:\WINDOWS\system32\pngfilt.dll
13:10:58 | Registered: C:\WINDOWS\system32\remotepg.dll
13:10:58 | Registered: C:\WINDOWS\system32\rpcrt4.dll
13:10:58 | Registered: C:\WINDOWS\system32\rshx32.dll
13:10:58 | Registered: C:\WINDOWS\system32\sendmail.dll
13:10:58 | Registered: C:\WINDOWS\system32\slayerxp.dll
13:10:58 | DllInstalled: C:\WINDOWS\system32\shdocvw.dll
13:10:58 | Registered: C:\WINDOWS\system32\shdocvw.dll
13:10:58 | Registered: C:\WINDOWS\system32\shell32.dll
13:11:02 | DllInstalled: C:\WINDOWS\system32\shell32.dll
13:11:02 | Registered: C:\WINDOWS\system32\shmedia.dll
13:11:02 | DllInstalled: C:\WINDOWS\system32\shimgvw.dll
13:11:02 | Registered: C:\WINDOWS\system32\shimgvw.dll
13:11:02 | DllInstalled: C:\WINDOWS\system32\shsvcs.dll
13:11:02 | Registered: C:\WINDOWS\system32\shsvcs.dll
13:11:03 | Registered: C:\WINDOWS\system32\srclient.dll
13:11:03 | Unregistered: C:\WINDOWS\system32\stobject.dll
13:11:03 | Registered: C:\WINDOWS\system32\stobject.dll
13:11:03 | DllInstalled: C:\WINDOWS\system32\themeui.dll
13:11:03 | Registered: C:\WINDOWS\system32\themeui.dll
13:11:03 | Registered: C:\WINDOWS\system32\twext.dll
13:11:03 | DllInstalled: C:\WINDOWS\system32\urlmon.dll
13:11:03 | Registered: C:\WINDOWS\system32\urlmon.dll
13:11:03 | Registered: C:\WINDOWS\system32\userenv.dll
13:11:03 | DllInstalled: C:\WINDOWS\system32\webcheck.dll
13:11:03 | Registered: C:\WINDOWS\system32\webcheck.dll
13:11:03 | Registered: C:\WINDOWS\system32\webvw.dll
13:11:03 | Registered: C:\WINDOWS\system32\winhttp.dll
13:11:03 | DllInstalled: C:\WINDOWS\system32\wininet.dll
13:11:03 | Registered: C:\WINDOWS\system32\zipfldr.dll
13:11:03 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdadc.dll
13:11:03 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaenum.dll
13:11:03 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaer.dll
13:11:03 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaipp.dll
13:11:03 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaora.dll
13:11:03 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaosp.dll
13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaps.dll
13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdasc.dll
13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdasql.dll
13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdatt.dll
13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msdaurl.dll
13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\msxactps.dll
13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\oledb32.dll
13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\oledb32r.dll
13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\sq lol

edb.dll
13:11:04 | Registered: C:\Programme\Gemeinsame Dateien\system\Ole DB\sqlxmlx.dll

-----------------------------------------------------------------------------------------
-----------------------------------------------------------------------------------------
-----------------------------------------------------------------------------------------

Sophos Anti-Virus
Version 4.29.0 [Win32/Intel]
Virus data version 4.29E, May 2008
Includes detection for 402134 viruses, trojans and worms
Copyright (c) 1989-2008 Sophos Plc, www.sophos.com

System time 13:40:51, System date 21 May 2008
Command line qualifiers are: -f -remove -nc -nb -dn --stop-scan -idedir=C:\SDFix\IDE -p=C:\SDFix\SophosReport.txt

IDE directory is: C:\SDFix\IDE

Full Scanning

>>> Virus 'Mal/Generic-A' found in file C:\Dokumente und Einstellungen\keller.ronny\Desktop\backups\backup-20080519-135422-297.dll
Removal successful
>>> Virus 'Mal/Emogen-AC' found in file C:\Dokumente und Einstellungen\keller.ronny\Desktop\backups\backup-20080519-135422-772.dll
Removal successful
Could not open C:\hiberfil.sys
>>> Virus 'Troj/FakeAle-BH' found in file C:\System Volume Information\_restore{35B8D453-7967-4CE1-8DA8-9733AAD36E97}\RP424\A0039631.exe
Removal successful
>>> Virus 'Mal/Heuri-E' found in file C:\System Volume Information\_restore{35B8D453-7967-4CE1-8DA8-9733AAD36E97}\RP424\A0039633.exe
Removal successful
>>> Virus 'Mal/EncPk-AV' found in file C:\System Volume Information\_restore{35B8D453-7967-4CE1-8DA8-9733AAD36E97}\RP425\A0039898.exe
Removal successful
>>> Virus 'Mal/Generic-A' found in file C:\System Volume Information\_restore{35B8D453-7967-4CE1-8DA8-9733AAD36E97}\RP427\A0040134.dll
Removal successful
>>> Virus 'Mal/Emogen-AC' found in file C:\System Volume Information\_restore{35B8D453-7967-4CE1-8DA8-9733AAD36E97}\RP427\A0040135.dll
Removal successful
Could not check C:\WINDOWS\explorer.exe (virus scan failed)
Could not check C:\WINDOWS\system32\eyzaulk.dll (virus scan failed)
Could not check C:\WINDOWS\system32\lsass.exe (virus scan failed)
Could not check C:\WINDOWS\system32\services.exe (virus scan failed)
Could not check C:\WINDOWS\system32\spoolsv.exe (virus scan failed)
>>> Virus 'W32/Liger-A' found in file C:\WINDOWS\system32\winlogon.exe
Removal failed

2 boot sectors swept.
184677 files swept in 26 minutes and 2 seconds.
6 errors were encountered.
8 viruses were discovered.
8 files out of 184677 were infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
Ending Sophos Anti-Virus.

«

Zitat

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ObEjcC"= {10C2C102-BA68-6BA8-EE70-57A451F76353} - C:\WINDOWS\system32\eyzaulk.dll [2004-08-04 05:00 32768]

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2