Trojan.Dropper.Kobcka.C und viel mehr - Logs angehängt

#0
05.06.2008, 14:09
...neu hier

Beiträge: 1
#1 Hallo,
Ich kann leider diese Trojan und Viren nicht entfernen. Unten sind dieLogs von combofix, hijack this und bitdefender online search. Was soll ich machen?

Vielen Dank
rifo

**********************COMBOFIX************************++



ComboFix 08-06-04.5 - Administrator 2008-06-05 12:35:48.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\vtUlkiIA.dll
C:\WINDOWS\system32\WinCtrl32.dl_
C:\WINDOWS\system32\WinCtrl32.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MSUPDATE
-------\Service_msupdate


((((((((((((((((((((((( Dateien erstellt von 2008-05-05 bis 2008-06-05 ))))))))))))))))))))))))))))))
.

2008-06-05 12:11 . 2008-06-05 12:11 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
2008-06-05 12:11 . 2008-06-05 12:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-06-05 12:11 . 2008-06-05 12:16 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVG7
2008-06-05 12:04 . 2008-06-05 12:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avg7
2008-06-04 23:56 . 2008-06-04 23:56 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\shcpobj0elat
2008-06-04 23:56 . 2008-06-05 00:40 90,838 --a------ C:\WINDOWS\system32\phcvobj0elat.bmp
2008-06-04 23:56 . 2008-06-05 00:40 52,736 --a------ C:\WINDOWS\system32\blphcvobj0elat.scr
2008-06-04 23:56 . 2008-06-04 23:56 28,928 --a------ C:\WINDOWS\system32\drivers\Winta52.sys
2008-06-04 19:09 . 2008-06-04 19:09 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-06-02 13:56 . 2008-06-02 13:56 <DIR> d-------- C:\Programme\Real
2008-06-02 13:56 . 2008-06-04 19:09 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2008-05-30 16:40 . 2008-05-30 16:40 <DIR> d-------- C:\Programme\Windows Live Safety Center
2008-05-28 15:33 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-05-28 15:33 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-05-28 15:33 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-05-17 08:31 . 2008-05-17 08:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Winamp
2008-05-15 19:54 . 2008-06-04 23:35 116 --a------ C:\WINDOWS\NeroDigital.ini
2008-05-14 19:41 . 2007-11-22 16:00 483,328 --a------ C:\WINDOWS\system32\actskn45.ocx
2008-05-14 15:12 . 2008-05-14 15:12 <DIR> d-------- C:\Programme\Winamp Toolbar
2008-05-14 15:12 . 2008-05-14 15:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar
2008-05-14 15:11 . 2007-03-08 01:51 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-05-13 22:30 . 2008-05-13 22:30 <DIR> d--h----- C:\$AVG8.VAULT$
2008-05-13 20:01 . 2008-05-13 20:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nullsoft
2008-05-13 19:20 . 2008-05-14 19:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-05-13 19:16 . 2008-05-13 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\LimeWire Store Purchased
2008-05-13 19:16 . 2008-05-13 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\LimeWire Shared
2008-05-13 19:16 . 2008-05-13 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\LimeWire Saved
2008-05-13 19:15 . 2008-05-13 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Incomplete
2008-05-13 19:15 . 2008-05-13 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LimeWire
2008-05-12 23:22 . 2008-05-12 23:22 268 --ah----- C:\sqmdata10.sqm
2008-05-12 23:22 . 2008-05-12 23:22 244 --ah----- C:\sqmnoopt10.sqm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-05 10:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-02 19:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-06-02 11:48 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-05-31 23:43 --------- d-----w C:\Programme\Java
2008-05-30 15:04 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TeamViewer
2008-05-20 06:49 --------- d-----w C:\Programme\EA SPORTS
2008-05-20 06:48 --------- d-----w C:\Programme\War Chess
2008-05-20 06:45 --------- d-----w C:\Programme\mg11
2008-05-17 06:31 --------- d-----w C:\Programme\Winamp
2008-05-15 14:46 --------- d-----w C:\Programme\Zuma Deluxe
2008-05-13 20:30 --------- d-----w C:\Programme\Radmin
2008-05-13 07:25 --------- d-----w C:\Programme\BearShare
2008-05-12 20:28 --------- d-----w C:\Programme\Gemeinsame Dateien\LogiShrd
2008-01-02 22:14 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2008-01-02 22:14 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
2008-01-02 22:14 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
.

------- Sigcheck -------

2006-06-01 21:06 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\system32\svchost.exe
2006-06-01 21:06 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\system32\dllcache\svchost.exe

2005-03-02 20:19 578560 4c90159a69a5fd3eb39c71411f28fcff C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
2006-06-01 21:06 578560 3751d7cf0e0a113d84414992146bce6a C:\WINDOWS\system32\user32.dll
2006-06-01 21:06 578560 3751d7cf0e0a113d84414992146bce6a C:\WINDOWS\system32\dllcache\user32.dll

2006-06-01 21:06 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\system32\ws2_32.dll
2006-06-01 21:06 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\system32\dllcache\ws2_32.dll

2004-09-29 20:42 662528 1c035cb755ed9204176668209a3b498d C:\WINDOWS\$hf_mig$\KB834707\SP2QFE\wininet.dll
2005-01-27 19:12 663552 d9460271895adbb382769af1fc701169 C:\WINDOWS\$hf_mig$\KB867282\SP2QFE\wininet.dll
2005-05-02 22:58 664576 8c907b730e9cfcfdf0157f3ea20d4424 C:\WINDOWS\$hf_mig$\KB883939\SP2QFE\wininet.dll
2005-03-10 09:47 663552 235d1d42c2d23fa1bc8a9edb267ffe86 C:\WINDOWS\$hf_mig$\KB890923\SP2QFE\wininet.dll
2005-09-03 01:53 666112 c9abc4ae17820bfee9a4307b8a4e6de9 C:\WINDOWS\$hf_mig$\KB896688\SP2QFE\wininet.dll
2005-10-21 05:38 667136 f3118df4abd118b11326d1c7a0093867 C:\WINDOWS\$hf_mig$\KB905915\SP2QFE\wininet.dll
2006-03-04 06:00 669184 c91b7839095133064f9c898897f8d64c C:\WINDOWS\$hf_mig$\KB912812\SP2QFE\wininet.dll
2006-06-01 21:06 664064 b29b257bd34bcf1a754c3f3a3ab98a07 C:\WINDOWS\ie7\wininet.dll
2006-11-07 21:03 818688 92995334f993e6e49c25c6d02ec04401 C:\WINDOWS\system32\wininet.dll
2006-11-07 21:03 818688 92995334f993e6e49c25c6d02ec04401 C:\WINDOWS\system32\dllcache\wininet.dll

2005-05-25 21:07 359936 63fdfea54eb53de2d863ee454937ce1e C:\WINDOWS\$hf_mig$\KB893066\SP2QFE\tcpip.sys
2006-01-13 19:07 360448 5562cc0a47b2aef06d3417b733f3c195 C:\WINDOWS\$hf_mig$\KB913446\SP2QFE\tcpip.sys
2006-06-01 21:06 359808 583e063fdc888ca30d05c2724b0d7ef4 C:\WINDOWS\system32\dllcache\tcpip.sys
2006-06-01 21:06 359808 583e063fdc888ca30d05c2724b0d7ef4 C:\WINDOWS\system32\drivers\tcpip.sys

2006-06-01 21:06 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\system32\winlogon.exe
2006-06-01 21:06 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\system32\dllcache\winlogon.exe

2006-06-01 21:06 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\dllcache\ndis.sys
2006-06-01 21:06 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys

2006-06-01 21:06 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\dllcache\ip6fw.sys
2006-06-01 21:06 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys

2005-03-02 10:11 2059264 ae8364004bbfd70461d2ef34888d3360 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
2005-03-02 20:06 2059136 bdff8ffa77ee7df9758ef8c1e0da8eff C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2006-06-01 21:06 2017792 a3724446acb9de8d890cfabd146cd0ad C:\WINDOWS\system32\ntkrnlpa.exe

2005-03-02 20:11 2181888 eb5538a452e0e99169e2b6cdb62ff9d2 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
2005-03-02 20:06 2181632 7189a2391adc1f65c9ae87b0abe0f945 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2006-06-01 21:06 2138112 3ddc2bc3d32b2fc505d09b8b8974d5bb C:\WINDOWS\system32\ntoskrnl.exe

2006-06-01 21:06 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\explorer.exe
2006-06-01 21:06 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\system32\dllcache\explorer.exe

2006-06-01 21:06 108544 edb6b81761bd60f32f740bbc40afb676 C:\WINDOWS\system32\services.exe
2006-06-01 21:06 108544 edb6b81761bd60f32f740bbc40afb676 C:\WINDOWS\system32\dllcache\services.exe

2006-06-01 21:06 13312 183805eb05bca5a1e4aaaed4d2be3690 C:\WINDOWS\system32\lsass.exe
2006-06-01 21:06 13312 183805eb05bca5a1e4aaaed4d2be3690 C:\WINDOWS\system32\dllcache\lsass.exe

2006-06-01 21:06 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\system32\ctfmon.exe
2006-06-01 21:06 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\system32\dllcache\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2008-03-20 00:36 1267040 --a------ C:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2008-03-20 00:36 1267040]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2008-03-20 00:36 1267040]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-06-01 21:06 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-31 08:35 7634944]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-06-04 19:09 185896]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-06-05 12:11 579584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-06-01 21:06 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-06-05 12:11 219136]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 00000000
"DisableChangePassword"= 00000000
"NoDispBackgroundPage"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogoff"= 00000000
"NoStartMenuSubFolders"= 00000000
"NoFavoritesMenu"= 00000000
"NoSMMyPictures"= 00000000
"NoStartMenuMyMusic"= 00000000
"NoSMMyDocs"= 00000000
"NoChangeStartMenu"= 00000000
"NoNetworkConnections"= 00000000
"NoStartMenuNetworkPlaces"= 00000000
"NoWinKeys"= 00000000
"NoAddPrinter"= 00000000
"NoDeletePrinter"= 00000000
"NoPrinterTabs"= 00000000
"RestrictRun"= 0 (0x0)
"NoSetTaskbar"= 00000000
"NoStartMenuMFUprogramsList"= 00000000
"NoSMHelp"= 00000000
"NoBandCustomize"= 00000000
"NoFileMenu"= 00000000
"SpecifyDefaultButtons"= 00000000
"Btn_Search"= 00000000
"Btn_Print"= 00000000
"Btn_PrintPreview"= 00000000
"Btn_MailNews"= 00000000
"NoViewOnDrive"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winta52.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-04-21 17:03 94208 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 20:24 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-04-01 20:49 36352 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\TeamViewer3\\TeamViewer.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgemc.exe"=

R0 Defrag32b;Defrag32Boot;C:\WINDOWS\system32\drivers\Defrag32b.sys [2006-06-01 21:06]
R0 Winta52;Winta52;C:\WINDOWS\system32\Drivers\Winta52.sys [2008-06-04 23:56]
R2 Defrag32;Defrag32;C:\WINDOWS\system32\drivers\Defrag32.sys [2006-06-01 21:06]
R2 PDSched;PDScheduler;C:\Programme\Raxco\PerfectDisk\PDSched.exe [2006-06-01 21:06]
R2 r_server;Remote Administrator Service;"C:\WINDOWS\system32\r_server.exe" /service []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e89a1ec5-ac1b-11dc-9210-001966422098}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

.
Inhalt des "geplante Tasks" Ordners
"2008-05-30 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUpUtilities2006\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-05 12:53:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-05 12:57:18 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-05 10:57:16

6 Verzeichnis(se), 53,230,239,744 Bytes frei
10 Verzeichnis(se), 53,813,760,000 Bytes frei

242







*************HIJACK THIS********************************

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:03:57, on 05.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\r_server.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E2368E0-87AF-4A1B-968F-4D12443A43AB}: NameServer = 213.191.74.18 62.109.123.196
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 6208 bytes




*********************BITDEFENDER*****************************


C:\QooBox\Quarantine\C\WINDOWS\system32\WinCtrl32.dll.vir
Infected with: Trojan.Dropper.Kobcka.C Deleted

C:\QooBox\Quarantine\C\WINDOWS\system32\WinCtrl32.dl_.vir
Infected with: Trojan.Dropper.Kobcka.C Deleted

C:\WINDOWS\system32\cmdow.exe
Detected with: Application.Tool.Hidewindow.C Deleted



C:\WINDOWS\system32\cmdow.exe


Deleted
Seitenanfang Seitenende
05.06.2008, 15:50
Moderator

Beiträge: 7805
#2 Teste bitte folgendes bei Virustotal

C:\WINDOWS\system32\blphcvobj0elat.scr
C:\WINDOWS\system32\drivers\Winta52.sys

Dann mache bitte folgendes:
1. Starte Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code


filelook::
C:\WINDOWS\system32\blphcvobj0elat.scr
C:\WINDOWS\system32\drivers\Winta52.sys
C:\WINDOWS\system32\ctfmon.exe

dirlook::
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\shcpobj0elat


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (falls gefragt wird ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende