Home » Viren, Trojaner & Malware Forum » Problem mit TR/Crypt.XPack.Gen und Virtumonde seit PS3 trial download » Themenansicht

Problem mit TR/Crypt.XPack.Gen und Virtumonde seit PS3 trial download
#0
24.05.2008, 21:11
66North
Member

Beiträge: 35
#1 Tach auch,

seit ich vor ein paar Tagen die Adobe trial Version von Photoshop CS3 nebst torrent plugin gedownloaded hab macht sich jemand oder etwas auf meinem Rechner mächtig zu schaffen ohne mich um erlaubnis zu fragen ... !!
Zunächst bemerkte antivir die Zeichnung von TR/Crypt.Xpack.Gen an folgendem Standort:
C:\Windows\system32\rqRKBqNe.dll
Ziemlich hartnäckig der Bursche, auf normalem Wege nicht zu löschen.
Kurz darauf fing der Spybot an mit Warnmeldungen und Erlaubnisanfragen den Bildschirm regelrecht zuzupflastern. Thema hier, Änderung von Registrierungsdaten. Ausserdem gingen neuerdings Fenster auf die um offline bzw. online Zugang/Arbeiten fragten. Alles ausgestattet mit grafischem Fenster wie beim Microsoft Sicherheitscenter. Des weiteren gab es jede Menge Werbung von (Anti)Spyware Anbietern, Umleitung nach syskontroller usw.. Bei Neustart kommt die Meldung: Fehler beim Laden von C:\\Windows\System32\tvoltgxy.dll. Das angegebene Modul wurde nicht gefunden. Ausserdem meckert Antivir bei jeder neu begonnenen Aktion mit immer dem selben Warnfenster bezüglich des Trojaner.
Klar hab ich mich am Kopf gekratzt und mal meine Scanner durchlaufen lassen.

Spybot fand Cookies von DoubleClick, Virtumonde und Zedo

Antivir blieb hartnäckig bei TR/Crypt.XPack.Gen

AVG/Ewido: webhancer, MediaPlex,Virtumonde, Zedo

F-secure: Viruses 14, hidden items 0, spyware 1

... webhancer, Mediaplex und Zedo waren abzuschütteln. Der Rest blieb hartnäckig.

Zu guter letzt, kurz vor dem Posting und Abfolge von Sabina's Threadanleitung spuckte der spyware doctor folgendes aus:

Trojan-downloader.VB.AWJ (1x)
Trojan-Agent (5x)
Trojan-DNS_Changer (1x)
Trojan-Virtumonde (69x)
spyware-webhancer (19x)

Da Crypten laut anderer im Netz vor allem zuerst dazu diente Programme kopiersicher zu machen, habe ich mir bei der Meldung nicht viel Sorgen gemacht, da es gut möglich war das Adobe PS3 versucht sich zu schützen und Antivir das falsch interpretierte. Daraufhin habe ich versucht Virtumonde nach dem Beispiel anderer auf die Reihe zu bekommen (ja, haut mir auf die Finger!) aber schnell das Handtuch geworfen da es sehr Fallspezifisch aussah. Allerdings wurde von mir der Eintrag:
O16 - DPF:{1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
gefixt.



Cleanup und CCleaner sind durch.

Nun zum Combofix file:
ComboFix 08-05-21.3 - Icke 2008-05-24 19:37:48.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.552 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Icke\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Recycled\Recycled
C:\WINDOWS\BM0e1f20ee.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\asyqxaju.ini
C:\WINDOWS\system32\bjuqxvlm.exe
C:\WINDOWS\system32\bllluxmw.exe
C:\WINDOWS\system32\dcceiuaa.dll
C:\WINDOWS\system32\fanbcfrj.dll
C:\WINDOWS\system32\gavxevwg.exe
C:\WINDOWS\system32\ijqvatjn.exe
C:\WINDOWS\system32\jrfcbnaf.ini
C:\WINDOWS\system32\LRYbdccf.ini
C:\WINDOWS\system32\LRYbdccf.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\otajceiv.ini
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\rqRKBqNe.dll
C:\WINDOWS\system32\sljqwdhn.exe
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\tkaassdi.ini
C:\WINDOWS\system32\ujaxqysa.dll
C:\WINDOWS\system32\wwbdtnvg.ini
C:\WINDOWS\system32\xinohjiv.ini
C:\WINDOWS\system32\ywsrwptx.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-24 bis 2008-05-24 ))))))))))))))))))))))))))))))
.

2008-05-24 18:34 . 2008-05-24 18:34 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-05-24 18:34 . 2008-05-24 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-24 18:30 . 2008-05-24 18:30 <DIR> d-------- C:\Programme\Spyware Doctor
2008-05-24 18:30 . 2008-05-24 18:30 <DIR> d-------- C:\Dokumente und Einstellungen\Icke\Anwendungsdaten\PC Tools
2008-05-24 18:30 . 2008-05-24 18:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-24 18:30 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-05-24 18:30 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-05-24 18:30 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-05-24 18:30 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-05-24 17:47 . 2008-05-24 17:47 <DIR> d-------- C:\Programme\CCleaner
2008-05-24 16:17 . 2008-05-24 16:17 115,200 --a------ C:\WINDOWS\system32\vijhonix.dll
2008-05-22 20:06 . 2008-05-22 20:06 <DIR> d-------- C:\fsaua.data
2008-05-22 17:37 . 2008-05-22 17:37 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-05-22 17:05 . 2008-05-22 17:05 <DIR> d-------- C:\VundoFix Backups
2008-05-22 01:53 . 2008-05-22 01:53 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2008-05-16 03:20 . 2008-05-24 19:51 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-16 03:20 . 2008-05-16 03:20 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-16 03:19 . 2008-05-16 03:19 <DIR> d-------- C:\Programme\iTunes
2008-05-16 03:19 . 2008-05-16 03:19 <DIR> d-------- C:\Programme\iPod
2008-05-16 02:58 . 2008-05-16 02:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-05-16 02:41 . 2008-05-16 02:41 <DIR> d-------- C:\Programme\Apple Software Update
2008-05-14 20:52 . 2008-05-14 20:52 294 ---hs---- C:\WINDOWS\system32\vlaqneik.ini
2008-05-14 20:50 . 2008-05-14 20:50 369,664 --a------ C:\WINDOWS\system32\fccdbYRL.dll
2008-05-14 02:00 . 2008-05-14 02:00 <DIR> d-------- C:\WINDOWS\system32\zDB
2008-05-14 02:00 . 2008-05-14 02:00 <DIR> d-------- C:\WINDOWS\system32\ys5
2008-05-14 02:00 . 2008-05-14 02:00 <DIR> d-------- C:\WINDOWS\system32\dFrnx06
2008-05-12 18:12 . 2008-05-12 18:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-05-12 18:08 . 2008-05-12 18:08 <DIR> d-------- C:\Programme\Bonjour
2008-05-12 18:02 . 2008-05-12 18:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-05-12 17:12 . 2008-05-12 17:12 462,437,040 --a------ C:\ADBEPHSPCS3_DE.exe
2008-05-12 16:49 . 2008-05-12 16:49 <DIR> d-------- C:\Programme\uTorrent
2008-05-12 16:48 . 2008-05-12 16:48 <DIR> d-------- C:\Dokumente und Einstellungen\Icke\Anwendungsdaten\uTorrent
2008-05-12 16:48 . 2008-05-12 16:48 265,008 --a------ C:\utorrent-1.8-beta-9704.upx.exe
2008-05-09 02:35 . 2008-05-09 02:35 <DIR> d-------- C:\Programme\Veoh Networks

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-16 16:07 0 ----a-w C:\WINDOWS\system32\drivers\lvuvc.hs
2007-03-14 20:02 45,576 ----a-w C:\Dokumente und Einstellungen\Icke\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-06-27 14:00 305,664 ----a-w C:\Programme\setup.exe
2006-06-09 23:37 905,216 ----a-w C:\Programme\iview398.exe
2006-05-19 20:27 3,370,824 ----a-w C:\Programme\BSPROINSTALL.exe
2006-05-18 14:14 10,257,968 ----a-w C:\Programme\antivir_workstation_win7u_de_h148.exe
2006-05-10 18:08 840,679 ----a-w C:\Programme\7z432.exe
2006-04-28 17:07 923,325 ----a-w C:\Programme\miranda-im-v0.4.0.3.zip
2006-04-28 17:06 1,130,704 ----a-w C:\Programme\7z432-x64.exe
2006-03-20 12:30 812,266 ----a-w C:\Programme\f_recovery_sd.zip
2006-03-08 12:03 2,160,918 ----a-w C:\Programme\gnuplot-4.0.0.tar.gz
2006-03-08 11:58 2,361,999 ----a-w C:\Programme\Gnuplot-4.0.0.dmg
2006-01-04 21:38 3,808,240 ----a-w C:\Programme\gtk+-2.8.9-setup-1.exe
2005-07-25 06:41 110,657 ----a-w C:\Programme\Gemeinsame Dateien\UninstallDrv.exe
2004-04-16 08:35 8,622,080 ----a-w C:\Programme\gnuplot-4.0.0.tar[1]
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D750B4BF-0008-4C46-8B29-500C90D3FE30}]
2008-05-14 20:50 369664 --a------ C:\WINDOWS\system32\fccdbYRL.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04 1415824]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-10-13 17:20 20058152]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"preload"="C:\Windows\RUNXMLPL.exe" [2004-04-20 16:49 40960]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-05 16:25 98394]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-05 16:24 688218]
"Broadcom Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY" [ ]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-05 21:05 339968]
"LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2005-03-30 15:29 32768]
"PowerKey"="C:\Programme\Launch Manager\PowerKey.exe" [2002-08-30 15:02 94208]
"LManager"="C:\Programme\Launch Manager\HotkeyApp.exe" [2005-05-19 14:45 69632]
"CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 14:28 20480]
"LMgrOSD"="C:\Programme\Launch Manager\OSDCtrl.exe" [2004-10-11 10:47 245760]
"Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2005-04-18 11:41 81920]
"eRecoveryService"="C:\Windows\System32\Check.exe" [2005-03-23 10:01 245760]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 01:08 262401]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-22 23:25 28160 C:\WINDOWS\KHALMNPR.Exe]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-02-08 01:12 488984]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 20:52 483328]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 18:39 90112 C:\WINDOWS\SOUNDMAN.EXE]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"BM0e1f20ee"="C:\WINDOWS\system32\tvoltgxy.dll" [ ]
"0d2c1372"="C:\WINDOWS\system32\vijhonix.dll" [2008-05-24 16:17 115200]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-04-10 15:14 1107848]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 05:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MPG4"= msmpeg4.dll
"VIDC.MP42"= msmpeg4.dll
"vidc.mp43"= msmpeg4.dll
"VIDC.X264"= x264vfw.dll
"VIDC.DIV3"= DivXc32.dll
"VIDC.DIV4"= DivXc32f.dll
"VIDC.3iv2"= 3ivxVfWCodec.dll
"VIDC.VP31"= vp31vfw.dll
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"atwtusb"=atwtusb.exe beta
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" -minimize
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
"mmtask"="C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
"WD Button Manager"=WDBtnMgr.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\AntiVir PersonalEdition Classic\\avcenter.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\utorrent-1.8-beta-9704.upx.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 11:27]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-03-04 16:37]
R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 15:57]
R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys [2004-12-15 15:18]
R3 int15.sys;int15.sys;C:\Programme\acer\eRecovery\int15.sys [2005-01-13 14:46]
R3 IRCOMM;IRCOMM;C:\WINDOWS\system32\drivers\Ircomm.sys [2002-07-08 15:36]
R3 KRNBRIDG;IrBridge Kernel-Level Interface;C:\WINDOWS\system32\DRIVERS\krnbridg.sys [2002-07-08 15:36]
R3 POWERKEY;POWERKEY;C:\Programme\Launch Manager\POWERKEY.sys [2000-12-19 18:29]
S1 aiptektp;HyperPen;C:\WINDOWS\system32\DRIVERS\aiptektp.sys [2004-07-07 16:02]
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys []
S3 DTV_Capture_2X0;DVB-T Receiver;C:\WINDOWS\system32\Drivers\DTV_Capture_2X0.sys [2004-09-06 13:40]
S3 DTV_Loader_2X1;DVB-T Loader;C:\WINDOWS\system32\Drivers\DTV_Loader_2X1.sys [2005-06-29 10:21]
S3 SI15CI;SI15CI;c:\elements\1stboot\SI15CI.SYS []

.
Inhalt des "geplante Tasks" Ordners
"2008-05-16 00:41:52 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-24 19:51:27
Windows 5.1.2600 Service Pack 2 FAT NTAPI

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\vijhonix.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM32\WLTRYSVC.EXE
C:\WINDOWS\SYSTEM32\BCMWLTRY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\LOGISHRD\LVMVFM\LVPRCSRV.EXE
C:\ACER\EMANAGER\ANBMSERV.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE
C:\PROGRAMME\GRISOFT\AVG ANTI-SPYWARE 7.5\GUARD.EXE
C:\PROGRAMME\BONJOUR\MDNSRESPONDER.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\CDANTSRV.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZIPM12.EXE
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\SYSTEM32\USRBRIDG.EXE
C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-24 19:55:00 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-24 17:54:52

32 Verzeichnis(se), 10,764,484,608 Bytes frei
39 Verzeichnis(se), 10,767,826,944 Bytes frei

225 --- E O F --- 2007-12-28 17:46:00

-----------------------------------------


Der aktuellste Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 21:01:50, on 24.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\usrbridg.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\PowerKey.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSDCtrl.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BM0e1f20ee] Rundll32.exe "C:\WINDOWS\system32\tvoltgxy.dll",s
O4 - HKLM\..\Run: [0d2c1372] rundll32.exe "C:\WINDOWS\system32\vijhonix.dll",b
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_9
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: WD Backup Monitor.lnk.disabled
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://157.157.46.1/activex/AxisCamControl.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} -
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: IrBridge User-Level Interface (USRBRIDG) - Extended Systems, Inc. - C:\WINDOWS\system32\usrbridg.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

-----------------------------------------------

und zu guter letzt der datfind.bat log:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von c:\

24.05.2008 20:27 0 dirdat.txt
24.05.2008 20:24 2.136 sys.txt
24.05.2008 20:24 6.753 system.txt
24.05.2008 20:23 123 systemtemp.txt
24.05.2008 20:23 101.977 system32.txt
24.05.2008 20:01 11.797 ComboFix.txt
24.05.2008 19:49 1.071.878.144 hiberfil.sys
24.05.2008 19:49 1.610.612.736 pagefile.sys
23.05.2008 03:34 699 VundoFix.txt
12.05.2008 17:12 462.437.040 ADBEPHSPCS3_DE.exe
12.05.2008 16:48 265.008 utorrent-1.8-beta-9704.upx.exe
24.03.2008 11:47 13.824 dvb.GRF
03.02.2008 23:29 76.347.506 Aqua1.psd
17.01.2008 21:03 20 ArcDeviceInfo
04.03.2007 21:47 6.469.352 avgas-setup-7.5.0.50.exe


Hoffe Ihr könnt mir beim aufräumen helfen ... :/
Seitenanfang Seitenende
24.05.2008, 21:30
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D750B4BF-0008-4C46-8B29-500C90D3FE30}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BM0e1f20ee"=-
"0d2c1372"=-

File::
C:\WINDOWS\system32\fccdbYRL.dll
C:\WINDOWS\system32\vijhonix.dll
C:\WINDOWS\system32\vlaqneik.ini

Folder::
C:\WINDOWS\system32\zDB
C:\WINDOWS\system32\ys5
C:\WINDOWS\system32\dFrnx06

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

««
poste das neue Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.05.2008, 22:12
66North
Member

Themenstarter

Beiträge: 35
#3 Hallo Sabina,

der Combofix haengt jetzt schon seit mindestens 10min. auf Stufe 31 (fest?) ...
Bin ich zu ungeduldig oder hat sich mein Rechnerlein fest gefahren?
Seitenanfang Seitenende
25.05.2008, 01:14
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 «
versuche es mit dem avenger

««
avneger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Registry keys to delete:
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D750B4BF-0008-4C46-8B29-500C90D3FE30}

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | BM0e1f20ee
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | 0d2c1372

Files to delete:
C:\WINDOWS\system32\fccdbYRL.dll
C:\WINDOWS\system32\vijhonix.dll
C:\WINDOWS\system32\vlaqneik.ini

Folders to delete:
C:\WINDOWS\system32\zDB
C:\WINDOWS\system32\ys5
C:\WINDOWS\system32\dFrnx06
schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.05.2008, 01:42
66North
Member

Themenstarter

Beiträge: 35
#5 Guten Abend/Morgen Sabina,

der Combofix ist bis vor 30min noch auf Position 35 gelaufen. Der Avenger dagegen ging ganz fix. Hier der log:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\fccdbYRL.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\vijhonix.dll" not found!
Deletion of file "C:\WINDOWS\system32\vijhonix.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\vlaqneik.ini" deleted successfully.
Folder "C:\WINDOWS\system32\zDB" deleted successfully.
Folder "C:\WINDOWS\system32\ys5" deleted successfully.
Folder "C:\WINDOWS\system32\dFrnx06" deleted successfully.

-------------------------------------------------------------

neu hinzugefuegt:

Antivir gibt jetzt eine neue Variante der Trojaner Meldung TR/Crypt.XPack.Gen heraus. Diesmal sieht er ihn in:

C:\SystemVolume Information\ ... \A0055239.dll

C:\QooBox\Quarantine\C\...\rqRKBqNe.dll.vir (Quarantaene von Antivir?)
Dieser Beitrag wurde am 25.05.2008 um 02:33 Uhr von 66North editiert.
Seitenanfang Seitenende
25.05.2008, 12:03
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo 66North

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
C:\QooBox <- löschen, falls es noch vorhanden ist. + Papierkorb leeren

««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)

««
scanne mit Bitdefender + poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.05.2008, 15:30
66North
Member

Themenstarter

Beiträge: 35
#7 Hallo Sabina,

da warst du ja doch 5 min nach mir am Rechner... ;) Bin leider erst jetzt zurueck. Zunaechst ein paar Neuigkeiten. Habe ueber Nacht mal ein paar Scanner rennen lassen. Spybot findet Virtumonde 2x, und zwar hier:

Benutzereinstellungen:HKEY_USERS\S-1-5-21-2956312005-2626085645-3425721879-1005\Software\Microsoft\rdfa

Einstellungen: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws


Antivir meldet wie immer den Trojaner, findet beim Suchlauf selbst aber nichts.
Kennst du den Spyware Doctor? Wie verlaesslig ist der? Er meldet bei mir auch Sachen die zuvor noch nie ein Problem waren. Hab ihn erst seit gestern und traue ihm nicht so recht.
U.a. sagt er:

Spyware.known_bad_sites:
C:\Programme\FreeRIP2\freerip.url
C:\Programme\FreeRIP2\kbase.url

Backdoor.VB.AYS:
C:\Combofix\NirCmdC.cfexe

Trojan-PWS.Bancos:
C:\ComboFix\pv.cfexe

Trojan.Agent:
bei Registry-wert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws, (default)
HKEY_USERS\S-1-5-21-2956312005-2626085645-3425721879-1005\Software\Microsoft\rdfa,F
HKEY_USERS\S-1-5-21-2956312005-2626085645-3425721879-1005\Software\Microsoft\rdfa,N
bei Registry-Schluessel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws
HKEY_USERS\S-1-5-21-2956312005-2626085645-3425721879-1005\Software\Microsoft\rdfa


Trojan.DNS_Changer:
Registry-Wert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion, dpid

Trojan.Virtumonde (29x)
Registry-Wert

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 0d2c1372
HKEY_CLASSES_ROOT\CLSID\{CA2433ED-7D89-4628-8344-59669148D0AD}\InproServer32, (Default)
HKEY_CLASSES_ROOT\CLSID\{CA2433ED-7D89-4628-8344-59669148D0AD}\InproServer32, ThreadingModel

Prozess(examples)
Powerkey.exe (C:\WINDOWS\system32\wskcxjoj.dll)

Hier zaehlt er 29 Prozesse auf und haengt jeweils " system32\wskcxjoj.dll " dran ...

Autostart Programm

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CA2433ED-7D89-4628-8344-59669148D0AD}
HKEY_CLASSES_ROOT\CLSID\{CA2433ED-7D89-4628-8344-59669148D0AD}\InproServer32
HKEY_CLASSES_ROOT\CLSID\{CA2433ED-7D89-4628-8344-59669148D0AD}

Trojan.Generic
Registry-Schluessel

HKEY_USERS\S-1-5-21-2956312005-2626085645-3425721879-1005\Software\Wget


Hoffe die Angaben sind in irgendeiner Weise hilfreich ...

Mache mich jetzt an Bitdefender! Bis gleich ...
Seitenanfang Seitenende
25.05.2008, 16:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ««
lade datfindbat, poste die daten der letzten 3 monate
http://virus-protect.org/datfindbat.html

««
kopiere in den avenger

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | BM0e1f20ee
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | 0d2c1372
Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws
Files to delete:
C:\WINDOWS\system32\wskcxjoj.dll

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.05.2008, 18:12
66North
Member

Themenstarter

Beiträge: 35
#9 Hier der fertige Bitdefender Scan:


BitDefender Online Scanner - Real Time Virus Report
EICAR-Test-File (not a virus)
1
Trojan.Generic.259602
2
-----------------------------------------------------------------------

Der neue Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\fccdbYRL.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\vijhonix.dll" not found!
Deletion of file "C:\WINDOWS\system32\vijhonix.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\vlaqneik.ini" deleted successfully.
Folder "C:\WINDOWS\system32\zDB" deleted successfully.
Folder "C:\WINDOWS\system32\ys5" deleted successfully.
Folder "C:\WINDOWS\system32\dFrnx06" deleted successfully.



Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\wskcxjoj.dll" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|BM0e1f20ee" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|0d2c1372" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

--------------------------------------------------------------------


Und hier der datfindbat: ;)

Datfindbat log:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von c:\

2008-05-25 18:18 0 dirdat.txt
2008-05-25 15:32 3,826 Bug.txt
2008-05-25 01:44 1,071,878,144 hiberfil.sys
2008-05-25 01:44 1,610,612,736 pagefile.sys
2008-05-25 01:30 1,740 avenger.txt
2008-05-24 20:24 6,753 system.txt
2008-05-24 20:23 123 systemtemp.txt
2008-05-24 20:23 101,977 system32.txt
2008-05-23 03:34 699 VundoFix.txt
2008-05-12 17:12 462,437,040 ADBEPHSPCS3_DE.exe
2008-05-12 16:48 265,008 utorrent-1.8-beta-9704.upx.exe
2008-03-24 11:47 13,824 dvb.GRF

0 Verzeichnis(se), 12,056,625,152 Bytes frei
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\WINDOWS\system32

2008-05-25 18:11 1,401,874 jojxcksw.ini
2008-05-25 01:45 692 eRLog.ini
2008-05-24 21:54 308,730 LRYbdccf.ini
2008-05-24 21:52 308,730 LRYbdccf.ini2
2008-05-24 21:25 2,560 tcpqdmlq.exe
2008-05-24 21:22 115,200 wskcxjoj.dll
2008-05-24 21:17 0 clkcnt.txt
2008-05-24 20:01 354 xinohjiv.ini
2008-05-24 18:32 382,026 perfh009.dat
2008-05-24 18:32 64,848 perfc007.dat
2008-05-24 18:32 393,086 perfh007.dat
2008-05-24 18:32 53,770 perfc009.dat
2008-05-24 18:32 902,476 PerfStringBackup.INI
2008-05-20 02:16 1,158 wpa.dbl
2008-05-12 20:42 1,509,904 FNTCACHE.DAT
2008-04-06 02:13 664 d3d9caps.dat
2008-03-28 23:37 90,112 QuickTimeVR.qtx
2008-03-28 23:37 57,344 QuickTime.qts



Mfg, 66North
Dieser Beitrag wurde am 25.05.2008 um 18:35 Uhr von 66North editiert.
Seitenanfang Seitenende
25.05.2008, 18:56
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ««
kopiere in den avenger

Zitat

Files to delete:
C:\WINDOWS\system32\jojxcksw.ini
C:\WINDOWS\system32\LRYbdccf.ini
C:\WINDOWS\system32\LRYbdccf.ini2
C:\WINDOWS\system32\tcpqdmlq.exe
C:\WINDOWS\system32\wskcxjoj.dll
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\xinohjiv.ini
«
poste noch mal die logs von datfindbat, aber bitte alle, nicht nur die 2 ersten, es kommt dann noch windows und die temp-Dateien ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.05.2008, 19:02
66North
Member

Themenstarter

Beiträge: 35
#11 Ups, da hab ich wohl zu sehr aufs Datum und zu wenig auf den Inhalt geachtet... :o

Hier der neue Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\jojxcksw.ini" deleted successfully.
File "C:\WINDOWS\system32\LRYbdccf.ini" deleted successfully.
File "C:\WINDOWS\system32\LRYbdccf.ini2" deleted successfully.
File "C:\WINDOWS\system32\tcpqdmlq.exe" deleted successfully.

Error: file "C:\WINDOWS\system32\wskcxjoj.dll" not found!
Deletion of file "C:\WINDOWS\system32\wskcxjoj.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\clkcnt.txt" deleted successfully.
File "C:\WINDOWS\system32\xinohjiv.ini" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.





Und hier die vollstaendige datfind.bat:

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von c:\

2008-05-25 19:03 0 dirdat.txt
2008-05-25 18:59 1,071,878,144 hiberfil.sys
2008-05-25 18:59 1,610,612,736 pagefile.sys
2008-05-25 18:59 2,058 avenger.txt
2008-05-25 15:32 3,826 Bug.txt
2008-05-24 20:24 6,753 system.txt
2008-05-24 20:23 123 systemtemp.txt
2008-05-24 20:23 101,977 system32.txt
2008-05-23 03:34 699 VundoFix.txt
2008-05-12 17:12 462,437,040 ADBEPHSPCS3_DE.exe
2008-05-12 16:48 265,008 utorrent-1.8-beta-9704.upx.exe
2008-03-24 11:47 13,824 dvb.GRF
2008-02-03 23:29 76,347,506 Aqua1.psd
2008-01-17 21:03 20 ArcDeviceInfo

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\WINDOWS\system32

2008-05-25 19:01 692 eRLog.ini
2008-05-24 18:32 64,848 perfc007.dat
2008-05-24 18:32 393,086 perfh007.dat
2008-05-24 18:32 382,026 perfh009.dat
2008-05-24 18:32 53,770 perfc009.dat
2008-05-24 18:32 902,476 PerfStringBackup.INI
2008-05-20 02:16 1,158 wpa.dbl
2008-05-12 20:42 1,509,904 FNTCACHE.DAT
2008-04-06 02:13 664 d3d9caps.dat
2008-03-28 23:37 90,112 QuickTimeVR.qtx
2008-03-28 23:37 57,344 QuickTime.qts


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\WINDOWS

2008-05-25 19:01 54,156 QTFont.qfn
2008-05-25 19:00 95 ComponentList.xml
2008-05-25 19:00 159 wiadebug.log
2008-05-25 19:00 4,166 ModemLog_SoftV90 Data Fax Modem with SmartCP.txt
2008-05-25 18:59 0 0.log
2008-05-25 18:59 2,048 bootstat.dat
2008-05-25 18:58 32,626 SchedLgU.Txt
2008-05-25 18:58 50 wiaservc.log
2008-05-25 18:58 7,380 WindowsUpdate.log
2008-05-25 18:12 7,192 cookies.ini
2008-05-25 15:41 8,281 setupapi.log
2008-05-24 19:59 227 system.ini
2008-05-23 03:02 24,429 BM0e1f20ee.txt
2008-05-16 03:20 1,409 QTFont.for
2008-04-01 10:06 8,192 Thumbs.db


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\DOKUME~1\Icke\LOKALE~1\Temp

2008-05-24 22:11 16,384 Perflib_Perfdata_5a1c.dat
1 Datei(en) 16,384 Bytes
0 Verzeichnis(se), 12,048,662,528 Bytes frei



So ist er doch vollständig, oder?
Dieser Beitrag wurde am 25.05.2008 um 19:06 Uhr von 66North editiert.
Seitenanfang Seitenende
25.05.2008, 19:04
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 nun ??? wo sind die daten ;) ;) ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.05.2008, 19:07
66North
Member

Themenstarter

Beiträge: 35
#13 Junge, junge, du bist ja richtig auf der Lauer! ;) Hat 'nen Augenblick gedauert bis alles gepostet war ...
Seitenanfang Seitenende
25.05.2008, 19:11
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Yep ;) wenn ich im Forum bin, dann auch aufmerksam.. ;)

das sieht mittlerweile alles richtig sauber aus..........
dennoch scanne mit Malwarebytes, poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

der scanner wird einiges in avenger + Combofix-Quarantäne finden - lasse es gleichfalls mitlöschen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.05.2008, 19:28
66North
Member

Themenstarter

Beiträge: 35
#15 Ok, der scan lauft ... . Irgendwas macht dem Spybot noch maechtig zu schaffen. Bei jedem Neustart dreht er foermlich durch und pflastert den ganzen Bildschirm mit Meldungen bezueglich Aenderung der Registrierungsschluessel / toolbars voll. Kann ihn dann nur ueber den Task Manager beenden. Ausserdem kommt die Meldung das die explorer.exe geschlossen werden muss. Und schmeisst dann natuerlich den Internet Explorer erstmal raus. Der AVG und Antivir hingegen sind komplett ruhig ... (juhu!) ;) ...



Mhhh... irgendwie hat sich das Rechnerlein gerad festgeruckelt.... Ich fahr ihn mal nochmal neu hoch. ...



So, hier kommt er, der Maleware file!!!

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 786

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 177263
Scan Dauer: 28 minute(s), 42 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{20805B88-0A57-49FE-94C0-35B1D4357244}\RP343\A0059405.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\Programme\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.


Sind wir jetzt echt durch?! Was rätst du bezüglich der Spybot Geschichte?

Erstmal dickes Dankeschön an Dich!!!! ;) 66North




Hab den Spydoc mal wieder durchgeduddelt:

Trojan.generic im Registry Schluessel
HKEY_USERS\S-1-5-21-2956312005-2626085645-3425721879-1005\Software\Wget



dann meckert er ueber Combofix (28x) ... (sollte ich es wieder entfernen?)

... und den Trojan.DNS_Changer hat er auch lieb gewonnen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion, dpid

Das ist alles
Dieser Beitrag wurde am 25.05.2008 um 20:42 Uhr von 66North editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123