Home » Viren, Trojaner & Malware Forum » Noch Schädlinge nach Reinigung? » Themenansicht

Noch Schädlinge nach Reinigung?
#0
04.08.2008, 08:39
Troublebee
...neu hier

Beiträge: 6
#1 Ich habe mir gestern ein paar Viren eingefangen...
Spybot meldete Search and Destroy Smitfraud-C.MSVPS, Microsoft.WindowsSecurityCenter.AntiVirusOverride und Zlob.Downloader.vcd
Auf dem Desktop stand z.B. auf einem blauen Hintergrund eine Meldung, ich solle mir eine Antispyware zulegen. Brauche Hilfe :x


Ich habe daraufhin Kaspersky, Spybot S&D sowie Smitfraufix im normalen und abgesicherten Modus laufen lassen und (vermeintlich) alle Schädliche gelöscht. Ich möchte aber gerne Gewissheit haben, ob sich noch weitere schädliche Programme auf meinem Rechner befinden.
Ich bin nun die Liste (http://board.protecus.de/t23188.htm) von euch durchgegangen.
Logs folgen:

1. CCleaner - nutze ich täglich

2.
Malwarebytes' Anti-Malware 1.11
Datenbank Version: 689

Scan Art: Schnell Scan
Objekte gescannt: 34437
Scan Dauer: 6 minute(s), 2 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

3.
ComboFix 08-08-03.03 - Troublebee 2008-08-04 8:02:28.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1582 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Troublebee\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\tmp79.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-04 bis 2008-08-04 ))))))))))))))))))))))))))))))
.

2008-08-03 23:22 . 2008-08-03 23:22 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-08-03 22:16 . 2008-08-03 23:44 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-03 18:56 . 2008-08-03 18:56 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-08-01 18:19 . 2008-08-01 19:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2008-07-28 17:36 . 2008-07-28 17:36 <DIR> d-------- C:\WINDOWS\ROSE Online Evolution
2008-07-28 17:36 . 2008-07-28 17:36 <DIR> d-------- C:\Programme\Triggersoft
2008-07-26 06:59 . 2008-07-26 06:59 <DIR> d-------- C:\Programme\FeedDemon
2008-07-25 17:18 . 2008-07-25 18:07 <DIR> d-------- C:\Programme\ONWIND
2008-07-24 14:30 . 2008-07-24 14:30 116,224 --ah----- C:\Dokumente und Einstellungen\Troublebee\Anwendungsdaten\MBSJPEGDecompressionPlugin.dll
2008-07-24 14:30 . 2008-07-24 14:30 95,744 --ah----- C:\Dokumente und Einstellungen\Troublebee\Anwendungsdaten\MBSJPEGCompressionPlugin.dll
2008-07-24 14:30 . 2008-07-24 14:30 64,512 --ah----- C:\Dokumente und Einstellungen\Troublebee\Anwendungsdaten\rbap450.dll
2008-07-24 14:30 . 2008-07-24 14:30 27,648 --ah----- C:\Dokumente und Einstellungen\Troublebee\Anwendungsdaten\rbselectfolder450.dll
2008-07-24 14:30 . 2008-07-24 14:30 26,112 --ah----- C:\Dokumente und Einstellungen\Troublebee\Anwendungsdaten\MBSRegistrationPlugin.dll
2008-07-22 10:45 . 2008-07-22 10:45 <DIR> d-------- C:\Programme\foobar2000
2008-07-22 10:45 . 2008-08-03 17:38 <DIR> d-------- C:\Dokumente und Einstellungen\Troublebee\Anwendungsdaten\foobar2000
2008-07-16 22:34 . 2008-07-16 22:34 <DIR> d-------- C:\Programme\iTunes
2008-07-16 22:34 . 2008-07-16 22:34 <DIR> d-------- C:\Programme\iPod
2008-07-16 22:33 . 2008-07-16 22:33 <DIR> d-------- C:\Programme\QuickTime
2008-07-16 01:09 . 2008-07-16 01:09 42,320 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-07-15 23:09 . 2008-07-27 17:55 137,840 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-07-15 23:09 . 2008-07-31 23:15 111,928 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2008-07-15 23:09 . 2008-07-15 23:09 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2008-07-15 21:51 . 2008-07-15 21:51 <DIR> d-------- C:\Programme\EA GAMES
2008-07-15 08:16 . 2008-05-16 14:01 446,464 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-07-15 08:16 . 2008-08-04 07:36 186,500 --a------ C:\WINDOWS\system32\nvapps.xml
2008-07-15 08:16 . 2008-05-16 14:01 18,070 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-07-15 08:15 . 2008-05-16 11:48 446,464 --a------ C:\WINDOWS\system32\NVUNINST.EXE

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-04 06:05 98,000,928 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-04 06:05 9,328,416 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-04 06:05 883,940 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-08-04 06:05 1,321,940 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-04 06:00 --------- d-----w C:\Programme\cFosSpeed
2008-08-04 05:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-08-04 05:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-03 21:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-03 21:46 --------- d-----w C:\Programme\MagicDVDRipper
2008-08-03 16:02 --------- d-----w C:\Dokumente und Einstellungen\Troublebee\Anwendungsdaten\Xfire
2008-08-03 15:51 --------- d-----w C:\Programme\GameSpy Arcade
2008-08-01 11:20 --------- d-----w C:\Programme\TmNationsForever
2008-08-01 06:09 --------- d-s---w C:\Programme\Xfire
2008-07-29 06:53 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-24 10:59 96,559 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-07-24 10:59 87,855 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-07-21 11:02 --------- d-----w C:\Programme\QIP
2008-07-18 15:11 --------- d-----w C:\Dokumente und Einstellungen\Troublebee\Anwendungsdaten\YuLeech
2008-07-14 19:13 729,088 ----a-w C:\WINDOWS\iun6002.exe
2008-07-10 07:35 32,000 ----a-w C:\WINDOWS\system32\drivers\usbaapl.sys
2008-06-24 12:08 --------- d-----w C:\Dokumente und Einstellungen\Troublebee\Anwendungsdaten\SPORE Creature Creator
2008-06-24 09:36 --------- d-----w C:\Dokumente und Einstellungen\Troublebee\Anwendungsdaten\teamspeak2
2008-06-21 13:32 --------- d-----w C:\Programme\FreePDF_XP
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-20 07:52 --------- d-----w C:\Programme\Real Alternative
2008-06-18 16:40 --------- d-----w C:\Programme\Free Download Manager
2008-06-18 04:44 --------- d-----w C:\Dokumente und Einstellungen\Troublebee\Anwendungsdaten\DeepBurner
2008-06-18 04:41 --------- d-----w C:\Programme\Astonsoft
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 10:19 --------- d-----w C:\Programme\Zattoo
2008-06-13 07:54 --------- d-----w C:\Programme\DAEMON Tools Lite
2008-06-13 07:51 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-06-13 07:51 --------- d-----w C:\Dokumente und Einstellungen\Troublebee\Anwendungsdaten\DAEMON Tools
2008-05-28 19:23 138,632 ----a-w C:\Dokumente und Einstellungen\Troublebee\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-05-11 09:10 704,793 ----a-w C:\WINDOWS\unins001.exe
2007-11-27 18:52 22,328 ----a-w C:\Dokumente und Einstellungen\Troublebee\Anwendungsdaten\PnkBstrK.sys
2007-03-10 15:02 251 ----a-w C:\Programme\wt3d.ini
1999-04-23 22:22 12 --sha-w C:\WINDOWS\system\WININETICMP32.drv
2007-01-09 20:30 88 --sh--r C:\WINDOWS\system32\C38219B68C.sys
2006-11-28 13:51 88 --sh--r C:\WINDOWS\system32\CD3C38BCF6.sys
2007-06-23 21:04 56 --sh--r C:\WINDOWS\system32\F9C416AD2C.sys
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-07-28 14:26 9,546 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 16:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cFosSpeed"="C:\Programme\cFosSpeed\cFosSpeed.exe" [2008-02-12 16:16 863448]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 14:01 13529088]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 14:01 86016]
"SigmatelSysTrayApp"="stsystra.exe" [2005-03-22 17:20 339968 C:\WINDOWS\stsystra.exe]
"nwiz"="nwiz.exe" [2008-05-16 14:01 1630208 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 16:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm
"vidc.yv12"= yv12vfw.dll
"VIDC.XFR1"= xfcodec.dll
"vidc.ffds"= ffdshow.ax

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^GetRight - Tray Icon.lnk]
backup=C:\WINDOWS\pss\GetRight - Tray Icon.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kis
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PlayNC Launcher
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
--a------ 2008-07-10 09:47 116040 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDF Assistant]
--a------ 2007-06-26 21:27 312320 C:\Programme\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM]
--a------ 2006-05-16 11:58 213936 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2006-05-16 11:58 213936 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-07-10 10:51 289064 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
--a------ 2002-07-24 19:43 28672 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
---hs---- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 10:50 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-03-14 03:43 83608 C:\Programme\Java\jre1.6.0_01\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"Apple Mobile Device"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"=
"C:\\Programme\\Xfire\\xfire.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo2.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"C:\\Programme\\cFosSpeed\\spd.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7707:TCP"= 7707:TCP:BitTorrent 7707 TCP
"7707:UDP"= 7707:UDP:BitTorrent 7707 UDP
"3724:TCP"= 3724:TCP:Blizzard Downloader
"6112:TCP"= 6112:TCP:Blizzard Downloader
"16567:TCP"= 16567:TCP:BF 2 One
"16567:UDP"= 16567:UDP:BF2 Two
"27888:TCP"= 27888:TCP:Fear Lan
"27888:UDP"= 27888:UDP:Fear Lan 2
"80:TCP"= 80:TCP:HDR 1
"80:UDP"= 80:UDP:HDR 2
"2007:UDP"= 2007:UDP:samp
"2007:TCP"= 2007:TCP:samp
"12975:TCP"= 12975:TCP:Hamachi 1
"12975:UDP"= 12975:UDP:Hamachi 2
"7777:TCP"= 7777:TCP:7777
"7777:UDP"= 7777:UDP:7777

R1 SSHDRV65;SSHDRV65;C:\WINDOWS\system32\drivers\SSHDRV65.sys [2007-10-03 10:02]
R1 SSHDRV85;SSHDRV85;C:\WINDOWS\system32\drivers\SSHDRV85.sys [2007-01-12 17:48]
S2 AWISp50;AWISp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\AWISp50.sys [2006-03-15 10:35]
S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k510bus.sys [2007-04-21 13:50]
S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k510mdfl.sys [2007-04-21 13:50]
S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\k510mdm.sys [2007-04-21 13:50]
S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k510mgmt.sys [2007-04-21 13:50]
S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\k510obex.sys [2007-04-21 13:50]
S3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 14:28]
S3 NAL;Nal Service ;C:\WINDOWS\system32\Drivers\iqvw32.sys [2006-06-05 05:39]
S3 SbieDrv;SbieDrv;C:\Programme\Sandboxie\SbieDrv.sys [2008-07-01 00:06]
S3 USRWGU(USR);USRobotics Wireless USB Adapter(USR);C:\WINDOWS\system32\DRIVERS\USRWGU.sys []
S3 XDva005;XDva005;C:\WINDOWS\system32\XDva005.sys []
S3 XDva007;XDva007;C:\WINDOWS\system32\XDva007.sys []
S3 XDva009;XDva009;C:\WINDOWS\system32\XDva009.sys []
S3 XDva011;XDva011;C:\WINDOWS\system32\XDva011.sys []
S3 XDva020;XDva020;C:\WINDOWS\system32\XDva020.sys []
S3 XDva143;XDva143;C:\WINDOWS\system32\XDva143.sys []
.
Inhalt des "geplante Tasks" Ordners

2008-08-01 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClick.exe []

2008-07-23 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]

2008-07-28 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job
- C:\Programme\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe []

2008-04-09 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job
- C:\Programme\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe []

2008-04-27 C:\WINDOWS\Tasks\Uniblue SpyEraser.job
- C:\Programme\Uniblue\SpyEraser\SpyEraser.exe []
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

Toolbar-{1982502B-E175-49B5-9ADD-62B8FC8DFB4E} - (no file)


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\q3wib7wl.default\
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\Java\jre1.6.0_01\bin\npjava11.dll
FF -: plugin - C:\Programme\Java\jre1.6.0_01\bin\npjava12.dll
FF -: plugin - C:\Programme\Java\jre1.6.0_01\bin\npjava13.dll
FF -: plugin - C:\Programme\Java\jre1.6.0_01\bin\npjava14.dll
FF -: plugin - C:\Programme\Java\jre1.6.0_01\bin\npjava32.dll
FF -: plugin - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
FF -: plugin - C:\Programme\Java\jre1.6.0_01\bin\npoji610.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npJoostPlugin.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-04 08:09:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-04 8:13:29 - PC wurde neu gestartet [Administrator]
ComboFix-quarantined-files.txt 2008-08-04 06:13:26

Pre-Run: 18 Verzeichnis(se), 311,981,785,088 Bytes frei
Post-Run: 20 Verzeichnis(se), 314,124,201,984 Bytes frei

256 --- E O F --- 2008-07-14 16:54:30

4.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:23, on 2008-08-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\cFosSpeed\spd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\stsystra.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=5061108
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

--
End of file - 5471 bytes

5.
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98DD-1D3F

Verzeichnis von C:\WINDOWS\system32

2008-08-04 08:22 186,500 nvapps.xml
2008-08-04 08:22 2,206 wpa.dbl
2008-08-03 22:33 1,858 tmp.reg
2008-08-03 22:33 0 tmp.txt
2008-07-31 23:15 111,928 PnkBstrB.exe
2008-07-16 14:44 400,424 FNTCACHE.DAT
2008-07-16 01:09 42,320 xfcodec.dll
2008-07-15 23:09 66,872 PnkBstrA.exe
2008-06-25 09:15 17,972,344 MRT.exe
2008-06-20 19:39 247,296 mswsock.dll
2008-06-20 19:39 148,992 dnsapi.dll
2008-06-18 22:56 9,728 BASSMOD.dll
2008-06-13 10:18 444,952 wrap_oal.dll
2008-06-13 10:18 109,080 OpenAL32.dll

2452 Datei(en) 620,564,037 Bytes
0 Verzeichnis(se), 311,868,694,528 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98DD-1D3F

Verzeichnis von C:\DOKUME~1\TROUBLE~1\LOKALE~1\Temp

2008-08-04 08:35 120,264 datfind.txt
2008-08-04 08:26 0 etilqs_QntCanzRMcMTzo2puCwT
2008-08-04 08:22 122 STS6.tmp
2008-08-04 08:22 1,285 MAR2.tmp
2008-08-04 08:18 5,248 plf4.tmp
2008-08-04 08:18 5,684 hpodvd09.log
2008-08-04 08:18 122 STS3.tmp
2008-08-04 08:18 1,285 MAR1.tmp
8 Datei(en) 134,010 Bytes
0 Verzeichnis(se), 311,868,702,720 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98DD-1D3F

Verzeichnis von C:\WINDOWS

2008-08-04 08:25 43,288 WindowsUpdate.log
2008-08-04 08:24 5,925 setupapi.log
2008-08-04 08:22 0 0.log
2008-08-04 08:22 159 wiadebug.log
2008-08-04 08:22 50 wiaservc.log
2008-08-04 08:22 2,048 bootstat.dat
2008-08-04 08:21 1,316 SchedLgU.Txt
2008-08-04 08:17 0 setuperr.log
2008-08-04 08:17 0 setupact.log
2008-08-04 08:17 138,820 ntbtlog.txt
2008-08-04 08:09 227 system.ini
2008-08-03 22:42 3,188 Sandboxie.ini
2008-08-03 22:16 0 Sti_Trace.log
2008-08-03 17:54 755 win.ini
2008-07-14 21:13 729,088 iun6002.exe
2008-06-06 07:33 1,874 ModemLog_Sony Ericsson K510 USB WMC Data Modem.txt
2008-06-06 07:33 2,036 ModemLog_Sony Ericsson K510 USB WMC Modem.txt

136 Datei(en) 15,087,067 Bytes
0 Verzeichnis(se), 311,868,686,336 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98DD-1D3F

Verzeichnis von C:\WINDOWS\temp

2008-08-04 08:22 409 WGANotify.settings
2008-08-04 08:22 255 WGAErrLog.txt
2008-08-04 08:18 0 T30DebugLogFile.txt
3 Datei(en) 664 Bytes
0 Verzeichnis(se), 311,868,694,528 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 98DD-1D3F

Verzeichnis von C:\WINDOWS\Downloaded Program Files

2006-05-16 11:58 24,576 dwusplay.dll
2006-05-16 11:58 196,608 dwusplay.exe
2006-05-16 11:58 484,272 isusweb.dll

4 Datei(en) 705,521 Bytes
0 Verzeichnis(se), 311,868,694,528 Bytes frei
.
.
.

Soo, ich hoffe ihr könnt mir Gewissheit geben, dass mein System wieder sauber ist. ;)

Vielen Dank im Voraus für Antworten.

MfG
Troublebee
Dieser Beitrag wurde am 04.08.2008 um 11:53 Uhr von Troublebee editiert.
Seitenanfang Seitenende
04.08.2008, 09:10
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Start > Ausführen>Kopiere rein ComboFix /U OK

Java
Dein Java software ist veraltet,
Download Java Runtime Environment (JRE) 6u7 zum Desktop

Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u7-windows-i586-p-s.exe
__________
MfG Argus
Seitenanfang Seitenende
04.08.2008, 09:30
Troublebee
...neu hier

Themenstarter

Beiträge: 6
#3 Ok, Combofix deinstalliert, Java werde ich gleich updaten


Habe gerade festgestellt, dass ich gestern Abend einen Screenshot von den von Spybot erkannten Viren gemacht habe:

Smitfraud-C.MSVPS
Microsoft.WindowsSecurityCenter.AntiVirusOverride
Zlob.Downloader.vcd


*edit*
Kaspersky meckernt nun , dass die Software not-a-virus:Monitor.Win32.SmartkeyStroke mit der folgenden Datei _shfoldr.dll (Im Tempfolder) gefährlich sei...

Scheint mir, als wäre doch noch nicht alles so sauber, wie ich gehofft hatte :x
Dieser Beitrag wurde am 04.08.2008 um 10:16 Uhr von Troublebee editiert.
Seitenanfang Seitenende
04.08.2008, 10:21
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Ewido Micro
Scanne mit Ewido Micro
__________
MfG Argus
Seitenanfang Seitenende
04.08.2008, 11:46
Troublebee
...neu hier

Themenstarter

Beiträge: 6
#5 Mit Ewido gescanned:
1 Fund: Adware.BurnFree in C:\Windows\system32\b4fm.dll mit Risk Medium -> gelöscht.

Während der Suche hat Kaspersky etliche neue Dinge gefunden und gelöscht.
Siehe Bild:

Das sieht nicht gut aus oder? ;)


*edit*
Noch eine Beobachtung.
Die Meldung mit der gefährlichen Software wegen _shfoldr.dll kommt immer dann, wenn ich ein Programm installieren oder deinstallieren möchte...
Wollte nämlich gerade Malwarebytes' Anti-Malware Scanner aktualisieren, da kam die Meldung wieder...
Falscher Alarm von Kaspersky oder wirklich gefährlich?
Nach den Meldungen verlangt Kaspersky, dass ich neustartet, um die Dateien zu desinfizieren. Nach einem Neustart wird immer das letzte Update neu heruntergeladen, weil die Datenbanken angeblich veraltet sind...

Ich bin echt überffragt..
________________________________________________

*edit2*
Nach dem Update von MAMS wurden noch vier Schädlinge gefunden. Ich hatte bei den Schritten am Anfang leider vergessen MAMS zu updaten ;)

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1022
Windows 5.1.2600 Service Pack 2

11:54:31 2008-08-04
mbam-log-8-4-2008 (11-54-31).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 42978
Laufzeit: 2 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcpkej0erdc (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhcpkej0erdc (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\fdkowvbp.bpve (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Troublebee\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.


*edit3*
Ich kann leider keinen neuen Beitrag eröffnen...

Habe die Rootkit-Suche von Kaspersky durchlaufen lassen und folgende Dinge gefunden...


Kann ich denn jetzt sicher sein, dass sich keine Viren mehr auf meinem PC befinden?

Ich kenne mich nicht soo gut mit Pcs aus :x Wäre daher über ein paar Hilfen dankbar.
Dieser Beitrag wurde am 05.08.2008 um 13:06 Uhr von Troublebee editiert.
Seitenanfang Seitenende
05.08.2008, 17:38
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Systemwiederherstellung
Info:
http://virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung -->
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

Wenn die Datei _shfoldr.dll noch anwesend ist
Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html
__________
MfG Argus
Seitenanfang Seitenende
05.08.2008, 20:52
Troublebee
...neu hier

Themenstarter

Beiträge: 6
#7 Habe die Systemwiederherstellung nun de- und aktiviert.

Womit soll ich die Datei nun suchen?
Mit der normalen Windows suche oder noch einmal Antivirenscanner etc. durchlaufen lassen?
Seitenanfang Seitenende
05.08.2008, 21:01
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Du musst Virustotal anklicken und _shfoldr.dll suchen im Temp Folder
Ich geh von False positive aus
__________
MfG Argus
Seitenanfang Seitenende
05.08.2008, 21:04
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#9 Im Editor Folgendes rein kopieren:

Zitat

@echo off
CD %temp%
attrib -r -s -h *.*
del /q *.*
dir /b /s /a:h *.exe >C:\tempfiles.txt
dir /b /s /a:h *.dll >>C:\tempfiles.txt
dir /b /s *.exe >>C:\tempfiles.txt
dir /b /s *.dll >>C:\tempfiles.txt
start notepad C:\tempfiles.txt
exit
und als tempfiles.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an.
Danach doppelklicken.
Poste dessen inhalt hier ins Forum
__________
MfG Argus
Seitenanfang Seitenende
05.08.2008, 21:38
Troublebee
...neu hier

Themenstarter

Beiträge: 6
#10 Kann die Datei _shfoldr.dll in keinem der Tempordner finden.

Die tempfiles.bat liefert gar keine Ergebnisse.
Nicht mal ein Zeichen, nur eine leere TXT-Datei.
Seitenanfang Seitenende
05.08.2008, 21:56
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#11 Hast du jetzt noch Probleme?
Ich komme nicht an meine Daten ran bei mir lauft gerade mein Virenscanner ;)
__________
MfG Argus
Seitenanfang Seitenende
05.08.2008, 21:59
Troublebee
...neu hier

Themenstarter

Beiträge: 6
#12 Im Moment läuft alles stabil, Meldungen über etwaige Schädlinge bekomme ich keine mehr.
MAMS, Spybot und der Kasper haben nichts mehr gemeldet.
Hoffentlich bleibt es so. ;)
Seitenanfang Seitenende
05.08.2008, 22:02
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#13 MBAM wird mehrmals am Tag ge-updated kann nur sagen ein Superscanner :yo
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1