W32/Perlovga.A.1, Drop/small.apl, TR/Trash.Gen über USB Stick

#1 Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1065
Windows 5.1.2600 Service Pack 2

19:45:36 18.08.2008
mbam-log-08-18-2008 (19-45-36).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 79110
Laufzeit: 40 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\avira unerase personal (BHO.Baidu) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Besitzer\Desktop\unerase_de_h14.exe (BHO.Baidu) -> Quarantined and deleted successfully.
C:\Programme\Avira\UnErase\uninstall.exe (BHO.Baidu) -> Quarantined and deleted successfully.


ComboFix 08-08-17.05 - Besitzer 2008-08-18 21:11:41.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.79 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Besitzer\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\PF6DHESF\interclick.com
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\PF6DHESF\interclick.com\ud.sol
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@hmt.connexpromotions[2].txt
C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@komtrack[2].txt
C:\Dokumente und Einstellungen\Besitzer\UserData
C:\Dokumente und Einstellungen\Besitzer\UserData\ATO56D2T\oWindowsUpdate[1].xml
C:\Dokumente und Einstellungen\Besitzer\UserData\GZEF6VIH\oWindowsUpdate[1].xml
C:\Dokumente und Einstellungen\Besitzer\UserData\index.dat
E:\autorun.inf
G:\autorun.inf
.
---- Previous Run -------
.
C:\WINDOWS\autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-07-18 bis 2008-08-18 ))))))))))))))))))))))))))))))
.

2008-08-18 18:49 . 2008-08-18 18:49 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-18 18:49 . 2008-08-18 18:49 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-08-18 18:49 . 2008-08-18 18:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-18 18:49 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-18 18:49 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-18 18:50 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Skype
2008-08-18 18:41 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\skypePM
2008-07-18 14:22 --------- d-----w C:\Programme\Java
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-01 22:37 --------- d-----w C:\Programme\Avira
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 21:04 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\NCH Swift Sound
2008-06-23 16:14 672,768 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-23 12:02 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-03-20 08:30 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-01 18:22 21898024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-08-01 11:37 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-08-01 11:37 114688]
"AcerNotebookManager"="C:\Programme\Acer\Notebook Manager\almxptray.exe" [2003-05-16 17:09 509952]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-12 00:15 185632]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 16:16 266497]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-10-19 21:16 286720]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
--a------ 2007-08-01 11:38 88107 C:\WINDOWS\AGRSMMSG.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 acernbm;acernbm;C:\WINDOWS\system32\drivers\acernbm.sys [2003-03-05 10:01]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\pptview.exe /L "playlist.txt"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{184dd2e0-2128-11dd-be6f-000e2ed5d66b}]
\Shell\AutoRun\command - SCVHSOT.exe
\Shell\Open\command - SCVHSOT.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cfd6cb10-1ddc-11dd-be6b-000e2ed5d66b}]
\Shell\AutoRun\command - E:\pptview.exe /L "playlist.txt"
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
HKLM-Run-NBKeyScan - C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\z93r3zzg.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.spiegel.de/
.
.
------- File Associations (Beta) -------
.
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-18 21:17:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\imapi.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avwsc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-18 21:21:46 - PC wurde neu gestartet [Besitzer]
ComboFix-quarantined-files.txt 2008-08-18 19:21:32

Pre-Run: 5 Verzeichnis(se), 51,997,065,216 Bytes frei
Post-Run: 10 Verzeichnis(se), 52,920,598,528 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

136 --- E O F --- 2008-08-13 18:23:01



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:45:12, on 18.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Hijackthis\HijackThis.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Hijackthis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185961671832
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1193776072024
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

--
End of file - 5187 bytes


.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20EE-D6E5

Verzeichnis von C:\WINDOWS\system32

13.08.2008 20:19 608.968 TZLog.log
10.08.2008 21:47 2.422 wpa.dbl
18.07.2008 16:22 6.944 jupdate-1.6.0_07-b06.log
14.07.2008 13:09 62.976 tzchange.exe
07.07.2008 22:30 253.952 es.dll
03.07.2008 11:42 374.272 xpsp3res.dll
24.06.2008 18:22 74.240 mscms.dll
23.06.2008 18:14 620.544 urlmon.dll
23.06.2008 18:14 672.768 wininet.dll
23.06.2008 18:14 1.499.136 shdocvw.dll
23.06.2008 18:14 474.624 shlwapi.dll
23.06.2008 18:14 532.480 mstime.dll
23.06.2008 18:14 39.424 pngfilt.dll
23.06.2008 18:14 449.024 mshtmled.dll
23.06.2008 18:14 3.088.384 mshtml.dll
23.06.2008 18:14 146.432 msrating.dll
23.06.2008 18:14 357.888 dxtmsft.dll
23.06.2008 18:14 205.312 dxtrans.dll
23.06.2008 18:14 55.808 extmgr.dll
23.06.2008 18:14 251.904 iepeers.dll
23.06.2008 18:14 96.768 inseng.dll
23.06.2008 18:14 16.384 jsproxy.dll
23.06.2008 18:14 1.056.256 danim.dll
23.06.2008 18:14 1.024.000 browseui.dll
23.06.2008 18:14 152.064 cdfview.dll
20.06.2008 19:39 148.992 dnsapi.dll
20.06.2008 19:39 247.296 mswsock.dll
16.06.2008 09:59 188.200 FNTCACHE.DAT
10.06.2008 02:32 73.728 javacpl.cpl
10.06.2008 02:32 139.264 javaws.exe
10.06.2008 01:21 135.168 javaw.exe
10.06.2008 01:21 135.168 java.exe
30.05.2008 01:35 17.486.968 MRT.exe
07.05.2008 07:14 1.293.312 quartz.dll

1881 Datei(en) 339.351.862 Bytes
0 Verzeichnis(se), 52.970.831.872 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20EE-D6E5

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

18.08.2008 22:47 91.990 datfind.txt
18.08.2008 22:44 114.688 ~DFFBDF.tmp
18.08.2008 21:22 173 jusched.log
3 Datei(en) 206.851 Bytes
0 Verzeichnis(se), 52.970.868.736 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20EE-D6E5

Verzeichnis von C:\WINDOWS

18.08.2008 22:28 1.222.748 WindowsUpdate.log
18.08.2008 21:17 227 system.ini
18.08.2008 21:16 0 0.log
18.08.2008 21:16 2.048 bootstat.dat
18.08.2008 21:15 32.556 SchedLgU.Txt
18.08.2008 17:46 178.309 setupact.log
13.08.2008 20:23 138.003 iis6.log
13.08.2008 20:23 302.845 comsetup.log
13.08.2008 20:23 181.830 ntdtcsetup.log
13.08.2008 20:23 1.374 imsins.log
13.08.2008 20:23 48.423 ocmsn.log
13.08.2008 20:23 336.227 tsoc.log
13.08.2008 20:23 18.219 KB952954.log
13.08.2008 20:23 420.009 ocgen.log
13.08.2008 20:23 43.822 msgsocm.log
13.08.2008 20:22 870.909 FaxSetup.log
13.08.2008 20:22 955.034 setupapi.log
13.08.2008 20:22 1.374 imsins.BAK
13.08.2008 20:22 13.266 KB946648.log
13.08.2008 20:22 11.688 KB953839.log
13.08.2008 20:22 18.603 KB950974.log
13.08.2008 20:22 109.886 updspapi.log
13.08.2008 20:19 31.629 KB951072-v2.log
13.08.2008 20:19 12.718 KB952287.log
13.08.2008 20:19 12.797 KB951066.log
13.08.2008 20:16 39.259 KB953838.log
13.08.2008 20:13 573 win.ini
18.07.2008 16:33 28.397 ie7_main.log
09.07.2008 16:06 18.952 KB951748.log
09.07.2008 14:26 28.943 wmsetup.log
05.07.2008 14:58 505 Germany
23.06.2008 23:07 2.986 IDNMitigationAPIsUninst.log
20.06.2008 01:01 8.735 KB951376-v2.log
17.06.2008 00:01 16.927 KB951698.log
17.06.2008 00:01 37.985 KB950759.log
16.06.2008 19:11 7.024 KB950760.log
16.06.2008 19:11 8.458 KB951376.log
16.06.2008 00:51 8.692 KB950762.log
16.05.2008 23:41 20.586 KB950749.log

238 Datei(en) 16.800.664 Bytes
0 Verzeichnis(se), 52.970.856.448 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20EE-D6E5

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20EE-D6E5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

01.08.2007 10:55 65 desktop.ini

5 Datei(en) 2.344 Bytes
0 Verzeichnis(se), 52.970.856.448 Bytes frei
.

Hallo Protecus Team!
Habe letztens meinen PC über USB Sticks infiziert und wollte nun gerne alles mal abchecken, damit ich sie endlich wieder benutzen kann. Habe während all den Tests alle drei Usb Sticks angeschlossen gehabt.
Hoffe, ich habe alles richtig gepostet und würde mich freuen von euch zu hören Vielen Dank!
Lieben Gruß,
Michelle

--> soll ich morgen noch einen online scan machen?

hier vielleicht noch der AV Report (höchste Stufe eingestellt)
(zur Zeit befinden sich 8 infizierte Dateien in der Quarantäne, siehe Titel, von AV Tests heute nachmittag...)

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 18. August 2008 23:09

Es wird nach 1561842 Virenstämmen gesucht.



Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '52' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{50830C3D-EC65-498E-A084-1CDB328A87F5}\RP184\A0017700.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d9ea8e.qua' verschoben!



Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '52' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'E:\' <KINGSTON>
Beginne mit der Suche in 'G:\'
Beginne mit der Suche in 'I:\'
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'F:\' <MYCD_VOL>
Beginne mit der Suche in 'H:\' <MYCD_VOL>

#2 Hallo,loreleymi

dieser Stick hier ist verseucht:
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{184dd2e0-2128-11dd-be6f-000e2ed5d66b}]
\Shell\AutoRun\command - SCVHSOT.exe
\Shell\Open\command - SCVHSOT.exe

-----------------------------------------------------------------------

1.
Start > Ausführen --> reinschreiben --> cmd
und ok. kopiere rein

Zitat

dir /s /a "c:\scvhsot*.*" > c:\find.txt & start notepad c:\find.txt

poste, was erscheint im Texteditor.

2.
alle Sticks benutzen - und alle deinfizieren
wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe


3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{184dd2e0-2128-11dd-be6f-000e2ed5d66b}]

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen




4.
poste das neue Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina!
Wow, toll, dass du sofort zurückgeschrieben hast! Vielen Dank!

Hab grad das erste gemacht und frage mich, ob das unten stehende wirklich das ist was du wolltest?... In der shell stand noch, dass die Datei nicht gefunden werden konnte.
Dachte, ich frag mal direkt bevor ich weiter mache

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 20EE-D6E5

LG, loreleymi

....
Hab dann doch schon mal das andere ausprobiert - der disinfector war aber schnell

ComboFix 08-08-18.04 - Besitzer 2008-08-19 13:31:56.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.68 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Besitzer\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-19 bis 2008-08-19 ))))))))))))))))))))))))))))))
.

2008-08-18 18:49 . 2008-08-18 18:49 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-18 18:49 . 2008-08-18 18:49 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-08-18 18:49 . 2008-08-18 18:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-18 18:49 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-18 18:49 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-19 11:13 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Skype
2008-08-19 07:50 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\skypePM
2008-07-18 14:22 --------- d-----w C:\Programme\Java
2008-07-01 22:37 --------- d-----w C:\Programme\Avira
2008-06-23 21:04 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\NCH Swift Sound
2008-06-23 12:02 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-03-20 08:30 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-01 18:22 21898024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-08-01 11:37 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-08-01 11:37 114688]
"AcerNotebookManager"="C:\Programme\Acer\Notebook Manager\almxptray.exe" [2003-05-16 17:09 509952]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-12 00:15 185632]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 16:16 266497]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-10-19 21:16 286720]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
VPN Client.lnk - C:\WINDOWS\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2007-11-07 17:13:20 6144]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
--a------ 2007-08-01 11:38 88107 C:\WINDOWS\AGRSMMSG.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 acernbm;acernbm;C:\WINDOWS\system32\drivers\acernbm.sys [2003-03-05 10:01]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\pptview.exe /L "playlist.txt"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cfd6cb10-1ddc-11dd-be6b-000e2ed5d66b}]
\Shell\AutoRun\command - E:\pptview.exe /L "playlist.txt"

*Newly Created Service* - CATCHME
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 13:35:17
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-19 13:37:11
ComboFix-quarantined-files.txt 2008-08-19 11:37:01
ComboFix2.txt 2008-08-18 19:21:49

Pre-Run: 6 Verzeichnis(se), 53,001,519,104 Bytes frei
Post-Run: 11 Verzeichnis(se), 52,993,110,016 Bytes frei

79 --- E O F --- 2008-08-13 18:23:01

#4 das combofix-script hat funktioniert, der Registry-Eintrag ist rausgelöscht und wenn die SCVHSOT.exe auf keinem der Laufwerke mehr zu finden ist, die Sticks desinfiziert sind - sollte alles wieder i.o. sein
wenn es noch Probleme geben sollte, melde dich
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hey!
ich freu mich so, dass alles geklappt hat! ..und ich das auch noch "alleine" geschafft habe vielen herzlichen Dank!! eine super betreuung hier!

noch eine kurze frage: kann ich die infizierten dateien in der AV quaratäne löschen? bzw. ist es ratsam dies auch ohne die ganzen schritte (combofix, hijackthis etc.) zu machen?

nochmals danke!
LG, loreleymi