Befall durch win32.bagle.aco bzw. KV.worm |
||
---|---|---|
#0
| ||
10.10.2008, 12:20
...neu hier
Beiträge: 6 |
||
|
||
10.10.2008, 13:28
Moderator
Beiträge: 5694 |
#2
Hallo
>> Geh zu dieser Seite http://www.zonavirus.com/datos/descargas/95/elibagla.asp Scrolle nach unten und klicke den Knopf "Descargar ELIBAGLA 11.82" Download EliBaglA.exe zum Desktop Doppelklick EliBaglA.exe um das Program zu starten Kontrolliere ob neben Unidad C:\ steht, wenn nicht ändere es nach C:\ Sorge dafür das "Eliminar Ficheros Automaticamente" angehakt ist Klicke jetzt den Knopf "Explorar" um das Program zu starten Am Ende poste den Inhalt von C:\InfoSat.txt in deinen Thread Klicke nachher "Salir" um das Program zu schliessen >> Cleaner anwenden http://www.virus-protect.org/ccleanerhtml >> Wende Combofix an, Warnmeldugen wegklicken, und poste das Log: http://virus-protect.org/artikel/tools/combofix.html >> Download F-Secure BlackLight http://virus-protect.org/artikel/tools/rootkithook.html Gruss Swiss Dieser Beitrag wurde am 10.10.2008 um 13:47 Uhr von Tonstudio editiert.
|
|
|
||
10.10.2008, 14:29
...neu hier
Themenstarter Beiträge: 6 |
#3
Ergebnis von EliBaglA.exe
Fri Oct 10 14:20:45 2008 EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008) ---------------------------------------------- Lista de Acciones (por Acciуn Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. C:\DOKUMENTE UND EINSTELLUNGEN\BASTI\ANWENDUNGSDATEN\M\FLEC006.EXE --> Bagle Acceso Denegado. Fri Oct 10 14:21:46 2008 EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008) ---------------------------------------------- Lista de Acciones (por Acciуn Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. C:\DOKUMENTE UND EINSTELLUNGEN\BASTI\ANWENDUNGSDATEN\M\FLEC006.EXE --> Bagle Acceso Denegado. Restaurada Clave: "SafeBoot\Minimal y Network" Reinicie para Completar la Limpieza. Fri Oct 10 14:22:42 2008 EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008) ---------------------------------------------- Lista de Acciones (por Acciуn Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. C:\DOKUMENTE UND EINSTELLUNGEN\BASTI\ANWENDUNGSDATEN\M\FLEC006.EXE --> Bagle Acceso Denegado. Restaurada Clave: "SafeBoot\Minimal y Network" Reinicie para Completar la Limpieza. Fri Oct 10 14:26:14 2008 EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008) ---------------------------------------------- Lista de Acciones (por Acciуn Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado. C:\DOKUMENTE UND EINSTELLUNGEN\BASTI\ANWENDUNGSDATEN\M\FLEC006.EXE --> Bagle Acceso Denegado. Restaurada Clave: "SafeBoot\Minimal y Network" Reinicie para Completar la Limpieza. Fri Oct 10 14:26:59 2008 EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008) ---------------------------------------------- Lista de Acciones (por Exploraciуn): Explorando Unidad C:\ Edit: Es ist nicht möglich combofix zu starten (rename bringt keinen Erfolg). Scan mit F-Prot wird durchgeführt. |
|
|
||
10.10.2008, 14:35
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo,
Avenger - http://virus-protect.org/artikel/tools/avenger.html setze ein Häkchen in: "Automatically disable any rootkits found" Das Häkchen "Scan for Rootkits" sollte angehakt sein. kopiere in das weisse Feld: Zitat Drivers to disable:- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) - Klicke: Execute - bestätige, dass der Rechner neu gestartet wird - klicke "yes" nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen «« >> Wende Combofix an, Warnmeldugen wegklicken, und poste das Log: http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.10.2008, 18:12
...neu hier
Themenstarter Beiträge: 6 |
#5
Zitat Tonstudio posteteMit F-Secure ca. 60 Dateien umbenannt. Edit:Ein erneuter Scan durch Elibagla.exe brachte wieder Viren zum Vorschein. Unter Anderem: C:\Programme\Sceneo\Bonavista\Services\ODSBC\ODSBCAPP.EXE --> Eliminado Bagle.dldr Combofix immer noch nicht startbar. Edit 4: Combofix erfolgreich gestartet mit der Hilfe folgenden Tricks: http://virus-protect.org/artikel/tools/combofix3.html Im Anhang ist das logfile. Edit2: Zitat Sabina postete"Avenger.exe ist keine zulässige Win32-Anwendung" Edit 5: nach erfolgreichem Verfahren mit Combofix funktioniert nun auch Avenger und jeder aufgeführte Punkt von dir ist fehlgeschlagen, weil die Datei nicht mehr existiert. Klingt gut, oder? Anhang: cf.txt Dieser Beitrag wurde am 10.10.2008 um 18:23 Uhr von babobezi editiert.
|
|
|
||
10.10.2008, 18:46
Moderator
Beiträge: 5694 |
#6
>>
Poste bitte das neue Log von Elibagla.exe. >> Scanne mit Dr Web Cureit und poste das Log http://board.protecus.de/t29351.htm |
|
|
||
10.10.2008, 19:06
...neu hier
Themenstarter Beiträge: 6 |
#7
Zitat Tonstudio postetenächster Durchlauf mit Combofix. Sagt der irgendwas aus? Andere Scans folgen... ComboFix 08-10-09.06 - Basti 2008-10-10 18:36:23.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1251.7.1031.18.584 [GMT 2:00] Running from: C:\Dokumente und Einstellungen\Basti\Desktop\cf.exe [COLOR=RED]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/COLOR] . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\autorun.inf C:\Recycled\Recycled . ---- Previous Run ------- . C:\autorun.inf C:\Recycled\Recycled D:\Autorun.inf . ((((((((((((((((((((((((( Files Created from 2008-09-10 to 2008-10-10 ))))))))))))))))))))))))))))))) . 2008-10-10 17:14 . 2008-10-10 18:44 <DIR> d-------- C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP 2008-10-09 22:48 . 2008-10-09 22:48 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-10-09 22:48 . 2008-10-09 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Malwarebytes 2008-10-09 22:48 . 2008-10-09 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-10-09 22:48 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-09 22:48 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-09 22:40 . 2008-10-09 22:40 <DIR> d-------- C:\Programme\CCleaner 2008-10-09 22:18 . 2008-10-09 22:18 0 --a------ C:\WINDOWS\system32\GEQA 2008-10-09 22:10 . 2008-10-09 22:10 0 --a------ C:\WINDOWS\system32\MRBVWXNKKYOSJ 2008-10-09 20:45 . 2008-10-09 20:52 <DIR> d-------- C:\WINDOWS\BDOSCAN8 2008-10-09 19:58 . 2008-10-09 20:32 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\.housecall6.6 2008-10-09 13:01 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys 2008-10-09 13:00 . 2008-10-09 13:00 <DIR> d-------- C:\Programme\Panda Security 2008-10-09 06:02 . 2008-10-09 06:02 <DIR> d-------- C:\Programme\Sophos 2008-10-09 00:54 . 2008-10-09 00:56 <DIR> d-------- C:\Programme\Broken Sword 2.5 2008-10-08 20:07 . 2008-10-10 18:25 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-10-08 20:07 . 2008-10-08 20:07 1,409 --a------ C:\WINDOWS\QTFont.for 2008-10-05 13:36 . 2008-08-05 20:10 1,684,736 --a------ C:\WINDOWS\system32\drivers\Ambfilt.sys 2008-10-05 13:36 . 2006-01-04 15:41 1,389,056 --a------ C:\WINDOWS\system32\drivers\Monfilt.sys 2008-10-05 13:36 . 2007-11-14 15:18 553 --a------ C:\WINDOWS\USetup.iss 2008-10-05 12:17 . 2005-05-03 17:43 69,632 --a------ C:\WINDOWS\ALCMTR.EXE 2008-10-05 12:05 . 2008-10-05 12:05 <DIR> d-------- C:\Programme\Trend Micro 2008-10-05 11:55 . 2008-10-05 13:40 <DIR> d-------- C:\Medion 2008-10-04 23:20 . 2008-10-04 23:20 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\5400 Series 2008-10-04 20:08 . 2008-10-05 14:40 <DIR> d-------- C:\Programme\Lx_cats 2008-10-04 20:07 . 2006-06-20 12:40 692,224 --a------ C:\WINDOWS\system32\lxctdrs.dll 2008-10-04 20:07 . 2006-07-11 17:54 335,872 --a------ C:\WINDOWS\system32\lxctcoin.dll 2008-10-04 20:07 . 2001-08-18 04:54 87,040 --a------ C:\WINDOWS\system32\wiafbdrv.dll 2008-10-04 20:07 . 2001-08-18 04:54 87,040 --a--c--- C:\WINDOWS\system32\dllcache\wiafbdrv.dll 2008-10-04 20:07 . 2006-05-18 10:01 65,536 --a------ C:\WINDOWS\system32\lxctcaps.dll 2008-10-04 20:07 . 2006-05-03 13:31 61,440 --a------ C:\WINDOWS\system32\lxctcnv4.dll 2008-10-04 20:07 . 2005-06-24 01:37 40,960 --a------ C:\WINDOWS\system32\lxctvs.dll 2008-10-04 20:06 . 2008-10-04 20:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\5400 Series 2008-10-04 20:06 . 2006-04-26 09:15 339,968 --a------ C:\WINDOWS\system32\IMGMAN32.DLL 2008-10-04 20:06 . 2006-04-26 09:15 98,345 --a------ C:\WINDOWS\system32\IMHOST32.DLL 2008-10-04 20:06 . 2006-04-26 09:15 98,304 --a------ C:\WINDOWS\system32\IM31XPNG.DEL 2008-10-04 20:06 . 2006-04-26 09:15 69,632 --a------ C:\WINDOWS\system32\IM31XTIF.DEL 2008-10-04 20:06 . 2006-04-26 09:15 49,152 --a------ C:\WINDOWS\system32\IM31IMG.DIL 2008-10-04 20:06 . 2006-07-10 22:34 40,960 --a------ C:\WINDOWS\system32\lxctpmon.dll 2008-10-04 20:06 . 2006-07-10 22:34 32,768 --a------ C:\WINDOWS\system32\LXCTFXPU.DLL 2008-10-04 20:06 . 2006-07-10 22:36 12,288 --a------ C:\WINDOWS\system32\lxctpmrc.dll 2008-10-04 20:05 . 2008-10-04 20:05 <DIR> d-------- C:\Programme\Lexmark Toolbar 2008-10-04 20:04 . 2008-10-04 20:07 <DIR> d-------- C:\Programme\Lexmark 5400 Series 2008-10-04 20:03 . 2008-10-04 20:03 <DIR> d-------- C:\drivers 2008-10-04 18:42 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys 2008-10-04 12:06 . 2008-08-28 18:56 438,272 --a------ C:\WINDOWS\system32\vp6vfw.dll 2008-10-04 12:03 . 2008-10-04 12:06 <DIR> d-------- C:\Programme\Moyea 2008-10-04 12:03 . 2008-10-04 12:17 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Moyea 2008-10-02 23:55 . 2008-10-04 19:47 <DIR> d-------- C:\Downloads 2008-10-02 23:47 . 2008-10-02 23:47 <DIR> d-------- C:\Programme\Free Download Manager 2008-10-02 23:47 . 2008-10-10 18:40 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Free Download Manager 2008-10-02 23:47 . 2008-10-02 23:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG 2008-10-01 01:45 . 2008-10-01 02:34 <DIR> d-------- C:\Programme\Winamp 2008-10-01 01:45 . 2008-10-05 22:57 155 --a------ C:\WINDOWS\winamp.ini 2008-09-30 23:00 . 2008-09-30 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\InstallShield Installation Information 2008-09-30 22:58 . 2008-09-30 22:58 <DIR> d-------- C:\Programme\Koei 2008-09-21 05:33 . 2008-07-18 22:07 270,880 --a------ C:\WINDOWS\system32\mucltui.dll 2008-09-21 05:33 . 2008-07-18 22:07 210,976 --a------ C:\WINDOWS\system32\muweb.dll 2008-09-21 05:33 . 2008-07-18 22:07 29,728 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2008-09-20 23:53 . 2008-09-20 23:56 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Contacts 2008-09-20 23:47 . 2008-09-20 23:47 268 --ah----- C:\sqmdata02.sqm 2008-09-20 23:47 . 2008-09-20 23:47 244 --ah----- C:\sqmnoopt02.sqm 2008-09-20 23:47 . 2008-09-20 23:47 136 --ah----- C:\sqmnoopt03.sqm 2008-09-20 23:47 . 2008-09-20 23:47 136 --ah----- C:\sqmdata03.sqm 2008-09-20 23:34 . 2008-09-20 23:45 <DIR> d-------- C:\Programme\Windows Live 2008-09-20 23:34 . 2008-09-20 23:45 <DIR> d--hsc--- C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller 2008-09-20 23:34 . 2008-09-20 23:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller 2008-09-20 22:32 . 2006-11-08 10:51 62,336 --------- C:\WINDOWS\system32\drivers\rspndr.sys 2008-09-20 22:32 . 2006-11-08 10:51 10,752 --------- C:\WINDOWS\system32\rspndr.exe 2008-09-20 22:08 . 2008-09-20 22:08 <DIR> d-------- C:\Programme\WinMessenger 2008-09-20 22:08 . 2008-09-20 22:08 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\VyPRESS 2008-09-19 13:14 . 2008-09-19 13:14 <DIR> d-------- C:\WINDOWS\system32\VirtualExpander 2008-09-18 15:49 . 2008-09-21 17:25 <DIR> d-------- C:\Programme\Rjecnik 2008-09-18 15:48 . 2008-09-18 15:48 249,856 --------- C:\WINDOWS\Setup1.exe 2008-09-18 15:48 . 2008-09-18 15:48 73,216 --a------ C:\WINDOWS\ST6UNST.EXE 2008-09-17 14:52 . 2008-09-17 14:52 <DIR> d-------- C:\Programme\D-Tools 2008-09-17 14:52 . 2004-08-22 16:31 155,136 --a------ C:\WINDOWS\system32\drivers\d347bus.sys 2008-09-17 14:52 . 2004-08-22 16:31 5,248 --a------ C:\WINDOWS\system32\drivers\d347prt.sys 2008-09-16 20:54 . 2008-09-16 20:54 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Pegasys Inc 2008-09-16 14:29 . 2008-09-16 14:31 <DIR> d-------- C:\Programme\Pegasys Inc 2008-09-16 14:23 . 2008-09-16 14:23 <DIR> d-------- C:\boilsoft_tmp 2008-09-16 14:12 . 2008-09-16 14:12 <DIR> d-------- C:\Programme\AVI 2 DVD & VCD 1 2008-09-16 14:12 . 2008-09-16 14:12 73,216 --a------ C:\WINDOWS\cadkasdeinst01.exe 2008-09-16 14:07 . 2008-09-16 14:07 <DIR> d-------- C:\Programme\Boilsoft AVI Converter 2008-09-16 14:07 . 2008-09-16 14:13 67 --a------ C:\WINDOWS\AVIConverter.INI 2008-09-16 09:22 . 2008-09-16 09:22 <DIR> d-------- C:\Programme\BS.Player ControlBar 2008-09-16 09:22 . 2008-09-16 09:22 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\BSplayer Pro 2008-09-16 09:22 . 2008-09-21 04:40 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\BSplayer 2008-09-15 20:27 . 2008-09-15 20:27 <DIR> d-------- C:\Programme\Data Doctor Chat Archive Recovery Yahoo Messenger(Evaluation) 2008-09-15 20:22 . 2008-09-15 20:22 <DIR> d-------- C:\Programme\Jufsoft 2008-09-12 22:23 . 2008-09-12 22:23 <DIR> d-------- C:\Programme\Network Stumbler 2008-09-12 22:08 . 2008-09-12 22:08 <DIR> d-------- C:\Programme\Pandion 2008-09-12 22:08 . 2008-09-26 13:12 <DIR> d-------- C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Pandion . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-05 12:39 --------- d-----w C:\Programme\STAMPIT 2008-10-05 11:42 --------- d-----w C:\Programme\Realtek 2008-10-03 14:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-09-29 22:48 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-09-29 05:53 --------- d-----w C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\CyberLink 2008-09-22 10:20 --------- d-----w C:\Programme\Microsoft Works 2008-09-05 13:57 --------- d-----w C:\Programme\aTunes 2008-09-05 13:45 --------- d-----w C:\Programme\Sun 2008-09-05 13:45 --------- d-----w C:\Programme\Java 2008-09-05 09:29 --------- d-----w C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Creative 2008-09-05 09:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Creative 2008-08-30 12:59 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-08-30 12:59 --------- d-----w C:\Programme\SanDisk 2008-08-30 12:58 --------- d-----w C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\InstallShield 2008-08-25 14:17 528,384 ----a-w C:\WINDOWS\RtlExUpd.dll 2008-08-25 11:13 --------- d-----w C:\Programme\UltimateZip 2007-01-06 17:23 251 ----a-w C:\Programme\wt3d.ini 2006-11-15 19:12 8 --sh--r C:\WINDOWS\system32\8679CB5C67.sys 2006-11-15 19:12 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot@2008-10-10_18.00.53.88 ))))))))))))))))))))))))))))))))))))))))) . - 2008-10-10 15:56:11 26,263 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCall.dll + 2008-10-10 16:43:40 26,263 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCall.dll - 2008-10-10 15:14:12 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla.dll + 2008-10-10 16:44:16 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla.dll - 2008-10-10 15:14:09 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla18.dll + 2008-10-10 16:44:05 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla18.dll - 2008-10-10 15:56:18 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla21.dll + 2008-10-10 16:43:48 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla21.dll - 2008-10-10 15:14:12 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla22.dll + 2008-10-10 16:44:17 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla22.dll - 2008-10-10 15:56:14 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla23.dll + 2008-10-10 16:43:42 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla23.dll - 2008-10-10 15:14:12 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla24.dll + 2008-10-10 16:44:14 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla24.dll - 2008-10-10 15:56:26 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla25.dll + 2008-10-10 16:43:55 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla25.dll - 2008-10-10 15:56:17 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla26.dll + 2008-10-10 16:43:46 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla26.dll - 2008-10-10 15:56:30 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla27.dll + 2008-10-10 16:43:59 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla27.dll - 2008-10-10 15:56:20 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla33.dll + 2008-10-10 16:43:49 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla33.dll - 2008-10-10 15:14:10 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla35.dll + 2008-10-10 16:44:08 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla35.dll - 2008-10-10 15:56:31 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla36.dll + 2008-10-10 16:44:00 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla36.dll - 2008-10-10 15:14:09 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla37.dll + 2008-10-10 16:44:03 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla37.dll - 2008-10-10 15:14:12 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla38.dll + 2008-10-10 16:44:18 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla38.dll - 2008-10-10 15:56:22 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla39.dll + 2008-10-10 16:43:51 29,744 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla39.dll - 2008-10-10 15:56:24 111,476 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla41.dll + 2008-10-10 16:43:54 111,476 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla41.dll - 2008-10-10 15:56:24 111,269 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla42.dll + 2008-10-10 16:43:52 111,269 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla42.dll - 2008-10-10 15:14:11 111,260 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla43.dll + 2008-10-10 16:44:12 111,260 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla43.dll - 2008-10-10 15:56:27 110,500 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla44.dll + 2008-10-10 16:43:57 110,500 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla44.dll - 2008-10-10 15:14:10 110,797 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla46.dll + 2008-10-10 16:44:07 110,797 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla46.dll - 2008-10-10 15:56:16 110,936 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla47.dll + 2008-10-10 16:43:44 110,936 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla47.dll - 2008-10-10 15:56:29 116,956 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla48.dll + 2008-10-10 16:43:58 116,956 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla48.dll - 2008-10-10 15:14:10 110,799 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla49.dll + 2008-10-10 16:44:10 110,799 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla49.dll + 2008-10-10 16:44:12 125,719 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla50.dll - 2008-10-10 15:56:33 45,056 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla51.dll + 2008-10-10 16:44:02 45,056 ----a-w C:\WINDOWS\CCBAA1F7E5E148B29ED9A79C6A37CE78.TMP\WiseCustomCalla51.dll - 2008-10-10 15:52:04 301,980 ----a-w C:\WINDOWS\system32\perfc007.dat + 2008-10-10 16:44:47 303,884 ----a-w C:\WINDOWS\system32\perfc007.dat - 2008-10-10 15:52:04 270,170 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-10-10 16:44:47 272,074 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-10-10 15:52:04 790,120 ----a-w C:\WINDOWS\system32\perfh007.dat + 2008-10-10 16:44:47 792,792 ----a-w C:\WINDOWS\system32\perfh007.dat - 2008-10-10 15:52:04 695,000 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-10-10 16:44:47 697,672 ----a-w C:\WINDOWS\system32\perfh009.dat . -- Snapshot reset to current date -- . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{2C688203-7EB3-4327-9995-1CB417BA23F9}"= "C:\Programme\BS.Player ControlBar\BSToolbar.dll" [2008-08-13 757192] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{2C688203-7EB3-4327-9995-1CB417BA23F9}"= "C:\Programme\BS.Player ControlBar\BSToolbar.dll" [2008-08-13 757192] [HKEY_CLASSES_ROOT\clsid\{2c688203-7eb3-4327-9995-1cb417ba23f9}] [HKEY_CLASSES_ROOT\BSToolbar.ToolBandObj.1] [HKEY_CLASSES_ROOT\TypeLib\{1FC79FB5-E4BD-48c8-B2E9-B8E74DB2C3A9}] [HKEY_CLASSES_ROOT\BSToolbar.ToolBandObj] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 15360] "Creative Live! Cam Manager"="C:\Programme\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe" [2006-05-31 143360] "MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "Free Download Manager"="C:\Programme\Free Download Manager\fdm.exe" [2008-05-20 2474031] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-09-06 7585792] "LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2005-07-25 32768] "HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2006-09-04 65536] "CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480] "LMgrOSD"="C:\Programme\Launch Manager\OSD.exe" [2005-03-16 204800] "Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2006-07-10 86016] "SMSERIAL"="C:\WINDOWS\sm56hlpr.exe" [2006-04-05 565248] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521] "IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-08-02 802816] "IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-08-02 696320] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648] "LanguageShortcut"="C:\Programme\Home Cinema\PowerDVD\Language\Language.exe" [2006-05-18 49152] "InstantOn"="C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe" [2005-09-23 93640] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-10-10 241704] "AVFX Engine"="C:\Programme\Creative\Creative Live! Cam\VideoFX\StartFX.exe" [2006-06-09 24576] "V0220Mon.exe"="C:\WINDOWS\V0220Mon.exe" [2006-06-28 32768] "H2O"="C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-23 385024] "SansaDispatch"="C:\Programme\SanDisk\Sansa Updater\SansaDispatch.exe" [2007-10-22 75584] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2004-08-22 81920] "lxctmon.exe"="C:\Programme\Lexmark 5400 Series\lxctmon.exe" [2007-01-11 291760] "Lexmark 5400 Series Fax Server"="C:\Programme\Lexmark 5400 Series\fm3032.exe" [2006-07-10 294912] "EzPrint"="C:\Programme\Lexmark 5400 Series\ezprint.exe" [2006-06-07 98304] "LXCTCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll" [2006-06-07 106496] "nwiz"="nwiz.exe" [2006-09-06 C:\WINDOWS\system32\nwiz.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-09-22 C:\WINDOWS\RTHDCPL.EXE] "SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.mkdmp3enc"= C:\PROGRA~1\HOMECI~1\MAGICD~1\Kernel\Burner\MKDMP3Enc.ACM "vidc.ffds"= ffdshow.ax [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\NetMeeting\\Conf.exe"= "C:\\Programme\\Nero\\Nero 7\\Nero MediaHome\\NeroMediaHome.exe"= "C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"= "C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroUpgrade.exe"= "C:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"= "C:\\Programme\\Sceneo\\Bonavista\\VMedia\\BVD.exe"= "C:\\Programme\\Sonavis\\TVsweeper\\\\TVsweeper.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\Youthpass\\youthpass.exe"= "C:\\Programme\\Youthpassa\\youthpass.exe"= "C:\\Programme\\Pandion\\Pandion.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\aTunes.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3587:TCP"= 3587:TCP:Windows Peer-zu-Peer-Gruppierung "3540:UDP"= 3540:UDPeer Name Resolution-Protokoll (PNRP) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R0 hotcore2;hotcore2;C:\WINDOWS\system32\drivers\hotcore2.sys [2007-01-16 30808] R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544] R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 9867] R2 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe [2006-10-24 1441280] R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 33792] R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040] S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys [ ] S3 DCamUSBSTK017;STK017 Camera;C:\WINDOWS\system32\DRIVERS\STK017W2.sys [2003-11-17 99476] S3 FJLOK;FJLOK;C:\DOKUME~1\Basti\LOKALE~1\Temp\FJLOK.exe [ ] S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-10 38528] S3 nenum13E;nenum13E;C:\DOKUME~1\Basti\LOKALE~1\Temp\nenum13E.sys [ ] S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 17280] S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\system32\svchost.exe [2006-03-24 14336] S3 p2pimsvc;Peernetzwerkidentitats-Manager;C:\WINDOWS\system32\svchost.exe [2006-03-24 14336] S3 p2psvc;Peernetzwerk;C:\WINDOWS\system32\svchost.exe [2006-03-24 14336] S3 PhilCap;PhilCap service;C:\WINDOWS\system32\DRIVERS\PhilCap.sys [2006-10-12 1053824] S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\system32\svchost.exe [2006-03-24 14336] S3 V0220Dev;Live! Cam Video IM;C:\WINDOWS\system32\DRIVERS\V0220Dev.sys [2006-06-29 146112] S3 V0220Vfx;V0220VFX;C:\WINDOWS\system32\DRIVERS\V0220Vfx.sys [2006-06-08 6272] S3 VVKVEAY;VVKVEAY;C:\DOKUME~1\Basti\LOKALE~1\Temp\VVKVEAY.exe [ ] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9637cb8a-7109-11dd-b714-0018de9fba84}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe \Shell\Open(&0)\command - Recycled\ctfmon.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{de56aec4-387d-11dc-b5ee-0018de9fba84}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe \Shell\Open(&0)\command - Recycled\ctfmon.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f067e9bb-2718-11dc-b5e1-0018de9fba84}] \Shell\Auto\command - setup.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f067e9bc-2718-11dc-b5e1-0018de9fba84}] \Shell\Auto\command - setup.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL setup.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{AEB9D4A0-199B-4dfa-A18D-E2DD5D989EDF}] %ProgramFiles%\WinMessenger\Setup\Setup.exe /PERUSERINIT . . ------- Supplementary Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\Mozilla\Firefox\Profiles\7kllsu42.default\ FireFox -: prefs.js - STARTUP.HOMEPAG ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-10 18:43:15 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\explorer.exe -> C:\WINDOWS\system32\nview.dll . ------------------------ Other Running Processes ------------------------ . C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\ehome\ehrecvr.exe C:\WINDOWS\ehome\ehSched.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\lxctcoms.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Common Files\X10\Common\X10nets.exe C:\WINDOWS\ehome\mcrdsvc.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\ehome\ehmsas.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe C:\Programme\STK017_V2.01\STK017M.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Dokumente und Einstellungen\Basti\Startmenь\Programme\Autostart\ctfmon.exe . ************************************************************************** . Completion time: 2008-10-10 18:55:33 - machine was rebooted [Basti] ComboFix-quarantined-files.txt 2008-10-10 16:55:26 ComboFix2.txt 2008-10-10 16:01:49 Pre-Run: 1,020,055,552 Bytes frei Post-Run: 1,002,442,752 Bytes frei 377 --- E O F --- 2008-09-25 02:52:59 ---------------------------------------------------------------------------- ---------------------------------------------------------------------------- Edit: Elibagle scan: :/ Fri Oct 10 19:07:59 2008 EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008) ---------------------------------------------- Lista de Acciones (por Acciуn Directa): Fri Oct 10 19:08:01 2008 EliBagle v11.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 7 de Octubre del 2008) ---------------------------------------------- Lista de Acciones (por Exploraciуn): Explorando Unidad C:\ C:\Qoobox\Quarantine\C\WINDOWS\system32\MDELK.EXE.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\126125.EXE.REN.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\127359.EXE.REN.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\130687.EXE.REN.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\133593.EXE.REN.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\133875.EXE.REN.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\135843.EXE.REN.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\143468.EXE.REN.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\145859.EXE.REN.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\160421.EXE.REN.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\166468.EXE.REN.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\170953.EXE.REN.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\172531.EXE.REN.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\175500.EXE.REN.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\178453.EXE.REN.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\187031.EXE.REN.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\192906.EXE.REN.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\199593.EXE.REN.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\3333218.EXE.VIR --> Eliminado Bagle C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\downld\3340828.EXE.VIR --> Eliminado Bagle Nє Total de Directorios: 16003 Nє Total de Ficheros: 176852 Nє de Ficheros Analizados: 18790 Nє de Ficheros Infectados: 21 Nє de Ficheros Limpiados: 21 Dieser Beitrag wurde am 10.10.2008 um 19:20 Uhr von babobezi editiert.
|
|
|
||
10.10.2008, 19:23
Ehrenmitglied
Beiträge: 29434 |
#8
««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat Registry::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu «« entferne combofix samt Backup - wie hier beschrieben /oder C:\Qoobox entfernen http://virus-protect.org/artikel/tools/combofix3.html «« scanne mit bitdefender + poste den report /falls möglich http://virus-protect.org/artikel/tools/bitdefender.html ----------- formatiere den USB-Stick, es scheint, der virus ist von dort aufs System gekommen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.10.2008, 23:09
...neu hier
Themenstarter Beiträge: 6 |
#9
Zitat Sabina posteteCombofix erledigt und bitdefender läuft. ---------------------- DER usb-stick ist gut. Ich weiß nicht woran man es sieht/erkennt, aber ich weiß dass es mit nem Unitool zusammenhängt. Und diesen Usb-stick habe ich vor nem halben Jahr an meinem PC gehabt. Inzwischen sind schon so viele sticks durch den laptop gegangen, dass zumindest das ganze Haus verseucht ist. Das wären noch 2 Win98-Rechner, 1 XP-Rechner und zwei Vista-laptops samt diversen USB-sticks, MP3-Playern und externen Festplatten. Gibt es kampferprobte Möglichkeiten, um den aufziehenden Kleinkrieg zu gewinnen, ohne dass das ganze wieder von vorne losgeht? Die Scanzeit bei Bitdefender nimmt lustigerweise stetig zu. Ich bin jetzt bei 3 Stunden angekommen, tendenz steigend... Hier noch der Scan von dr.web aus dem gesicherten Modus (bevor ich combofix das letzte mal gestartet habe): ctfmon.exe d:\recycled Trojan.Recycle Gelцscht. autorun.inf C:\Dokumente und Einstellungen\Basti\Eigene Dateien\programme\hu-wlan Win32.HLLW.Autoruner.274 Gelцscht. autorun.inf C:\ Trojan.Recycle Gelцscht. autorun.inf.ren C:\ Trojan.Recycle Gelцscht. Auch wenn es sicher noch nicht optimal ist, bin ich froh, dass der Laptop noch behandelbar ist und nicht komplett alles neuinstalliert werden muss. Für das Stück Arbeit, was dahinter steckt, möchte ich euch danken und hoffe, dass ihr auch weiterhin die Kraft und Möglichkeit habt, für das Forum und die sich dem Forum angeschlossenen Hilfesuchenden dazusein. Gruß, babobezi Edit: hrmpf - kurz vor ende des suchlaufs hat sich der internet explorer verabschiedet. Wunderbar... Falls bagle da noch mit dabei sein sollte, kann ich das verneinen. Bis auf eine wenige Einträge schien alles in Ordnung. Kann ich meinen Laptop jetzt kuriert nennen? Vielen Dank und Gruß Dieser Beitrag wurde am 11.10.2008 um 00:43 Uhr von babobezi editiert.
|
|
|
||
11.10.2008, 10:51
Ehrenmitglied
Beiträge: 29434 |
#10
versuche es mit anderen Virenscanner - z.b. F-secure/Onlinescan
http://virus-protect.org/onlinescan.html die Sticks im Grunde alle formatieren + oder : wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln" http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe «« der obrige Rechner: wende sdfix im abgesicherten modus an + poste den Report http://virus-protect.org/artikel/tools/sdfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.10.2008, 13:47
...neu hier
Themenstarter Beiträge: 6 |
#11
F-Secure fand einen Thread: W32/Packed_FSG.C
Den Rest werde ich wohl erstmal auf ein anderes Mal verschieben... |
|
|
||
Dazu zählen unter Anderem Antivir und HijackThis - dadurch ist es mir zum ersten Mal aufgefallen.
Ein onlinescan mit Panda ergab unter Anderem zwei Dateien die durch einen aktiven Virus W32/Bagle.KV.worm infiziert sind. (siehe Anhang)
Einmal ist es die Datei hldrrr.exe in system32/drivers und die zweite Datei ist folgende:
Ein Scan per Jotti brachte folgendes Ergebnis:
------------------------------------------------------------
Datei: odsbcapp.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-
Bit9 rapportiert: {BIT9_THREAT}
A-Squared
Keine Viren gefunden
AntiVir
TR/Dldr.Bagle.aco gefunden
ArcaVir
Keine Viren gefunden
Avast
Win32:Beagle-AGU gefunden
AVG Antivirus
Win32/Themida gefunden
BitDefender
Win32.Worm.Bagle.ZMQ gefunden
ClamAV
Keine Viren gefunden
CPsecure
Troj.Downloader.W32.Bagle.aco gefunden
Dr.Web
Trojan.Packed.650 gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Trojan-Downloader.Win32.Bagle.aco gefunden
G DATA
Win32:Beagle-AGU gefunden
Ikarus
Trojan-Downloader.Win32.Bagle.aco gefunden
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Bagle.aco gefunden
NOD32
Win32/Bagle.PQ gefunden
Norman Virus Control
W32/Malware.ECAS gefunden
Panda Antivirus
W32/Bagle.KV.worm gefunden
Sophos Antivirus
Mal/Generic-A gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden
------------
Scans mit Bitdefender und Microtech mussten aufgrund der Dauer abgebrochen werden.
CCleaner, Avg antirootkit, Sophos rootkit und combofix lassen sich nicht starten.
Die Ausführung des Rootkit revealer führte regelmäßig zum Absturz
Die Anti-Malware software von malwarebytes konnte einmal per quickscan erfolgreich durchlaufen - weitere male führten zum Absturz:
Hier die Auswertung:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1248
Windows 5.1.2600 Service Pack 2
10.10.2008 00:50:45
mbam-log-2008-10-10 (00-50-34).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 52510
Laufzeit: 6 minute(s), 29 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlьssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 2
Infizierte Dateien: 7
Infizierte Speicherprozesse:
(Keine bцsartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bцsartigen Objekte gefunden)
Infizierte Registrierungsschlьssel:
(Keine bцsartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
Infizierte Verzeichnisse:
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> Files: 353 -> No action taken.
C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\m (Trojan.Agent) -> No action taken.
Infizierte Dateien:
C:\WINDOWS\Facher.bmp (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Prariewind.bmp (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> No action taken.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> No action taken.
C:\Dokumente und Einstellungen\Basti\Anwendungsdaten\m\flec006.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\hldrrr.exe (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\srosa.sys (Rootkit.Bagle) -> No action taken.
Bitte um Hilfe oder weitere Anleitungen nach dem Schema des eingangsthreads:
http://board.protecus.de/t23188.htm
Vielen Dank!
Babobezi
Edit:
Start im abgesicherten Modus erfolgt nicht -> Bluescreen und Neustart sind das Ergebnis.