Silentbanker hat sich eingenistet

#16 Nchdem die Starteintraege durch das cfscript entfernt wurden hat sich der Banker beim neustart nicht mehr starten und so verstecken koennen. Ich hoffe zumindest, das es so war Erstelle bitte nochmal ein Combofix report...
__________
MfG Ralf
SEO-Spam Hunter

#17 ComboFix 08-11-30.01 - Kevin 2008-11-30 20:51:10.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.566 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Kevin\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-10-28 bis 2008-11-30 ))))))))))))))))))))))))))))))
.

2008-11-30 05:11 . 2008-11-30 19:40 250 --a------ c:\windows\gmer.ini
2008-10-19 08:42 . 2008-10-19 08:42 <DIR> d-------- c:\programme\gs
2008-10-19 08:42 . 2008-10-19 08:42 43 --a------ c:\windows\gswin32.ini
2008-10-19 08:34 . 2008-10-19 08:34 <DIR> d-------- c:\programme\XnView
2008-10-19 08:34 . 2008-10-19 08:46 <DIR> d-------- c:\dokumente und einstellungen\Kevin\Anwendungsdaten\XnView
2008-10-19 08:29 . 2008-10-19 08:29 <DIR> dr------- C:\UDC Output Files
2008-10-19 08:29 . 2008-10-19 08:29 <DIR> d-------- c:\programme\Universal Document Converter
2008-10-19 08:29 . 2008-04-04 17:07 5,632 --a------ c:\windows\system32\udcpm.dll
2008-10-19 08:15 . 2008-10-19 08:20 <DIR> d-------- c:\dokumente und einstellungen\Kevin\Anwendungsdaten\gtk-2.0
2008-10-19 08:13 . 2008-10-19 08:13 <DIR> d-------- c:\dokumente und einstellungen\Kevin\.thumbnails
2008-10-19 08:12 . 2008-10-28 20:38 <DIR> d-------- c:\dokumente und einstellungen\Kevin\.gimp-2.6
2008-10-19 08:12 . 2008-10-19 08:12 <DIR> d-------- c:\dokumente und einstellungen\Kevin\.gegl-0.0
2008-10-19 08:11 . 2008-10-19 08:11 <DIR> d-------- c:\programme\Gimp-2.0

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-30 08:54 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2008-11-26 22:01 --------- d-----w c:\dokumente und einstellungen\Kevin\Anwendungsdaten\VideoReDoPlus
2008-11-26 21:59 --------- d-----w c:\programme\ICQToolbar
2008-11-26 05:47 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-09-30 16:51 --------- d-----w c:\programme\ICQ6
2008-09-04 04:02 730,368 ----a-w c:\windows\system32\oodsvct.exe
2008-09-04 04:02 1,295,616 ----a-w c:\windows\system32\oodag.exe
2008-09-04 04:01 2,524,416 ----a-w c:\windows\system32\oodtray.exe
2008-09-04 04:01 194,816 ----a-w c:\windows\system32\oodbs.exe
2008-09-04 03:59 902,400 ----a-w c:\windows\system32\oodtrrs.dll
2008-09-04 03:59 9,984 ----a-w c:\windows\system32\oodbsrs.dll
2008-09-04 03:59 8,448 ----a-w c:\windows\system32\oodagrs.dll
2008-09-04 03:59 16,640 ----a-w c:\windows\system32\oodagmg.dll
2008-08-30 03:20 15,104 ----a-w c:\windows\system32\ootmapi.dll
2008-08-24 20:36 21,840 ----a-w c:\windows\system32\SIntfNT.dll
2008-08-24 20:36 17,212 ----a-w c:\windows\system32\SIntf32.dll
2008-08-24 20:36 12,067 ----a-w c:\windows\system32\SIntf16.dll
2007-12-31 22:25 160 ----a-w c:\dokumente und einstellungen\Kevin\Anwendungsdaten\wklnhst.dat
2006-06-15 19:33 233,472 ----a-w c:\programme\mozilla firefox\plugins\CrazyTalk4Native.dll
2006-05-25 17:43 204,895 ----a-w c:\programme\mozilla firefox\plugins\ctdomemhelper.dll
2005-09-29 13:41 77,824 ----a-w c:\programme\mozilla firefox\plugins\ctframeplayerobject.dll
2006-06-19 12:10 426,081 ----a-w c:\programme\mozilla firefox\plugins\ctplayerobject.dll
2005-02-02 11:19 458,752 ----a-w c:\programme\mozilla firefox\plugins\imagickrt.dll
2006-04-10 17:35 139,264 ----a-w c:\programme\mozilla firefox\plugins\rlcontentclass.dll
2005-11-09 10:10 204,800 ----a-w c:\programme\mozilla firefox\plugins\RLMusicPacker.dll
2005-11-09 10:42 106,496 ----a-w c:\programme\mozilla firefox\plugins\RLMusicUnpacker.dll
2006-01-04 10:22 212,992 ----a-w c:\programme\mozilla firefox\plugins\RLVoicePacker.dll
2006-01-04 10:21 167,936 ----a-w c:\programme\mozilla firefox\plugins\RLVoiceUnpacker.dll
2007-12-28 18:42 80 --sh--r c:\windows\CT4CET.bin
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2008-03-16 12:30 216,064 --sh--r c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((( snapshot@2008-11-30_10.15.54.39 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-11-30 09:08:52 75,148 ----a-w c:\windows\system32\perfc007.dat
+ 2008-11-30 18:42:51 75,148 ----a-w c:\windows\system32\perfc007.dat
- 2008-11-30 09:08:52 62,480 ----a-w c:\windows\system32\perfc009.dat
+ 2008-11-30 18:42:51 62,480 ----a-w c:\windows\system32\perfc009.dat
- 2008-11-30 09:08:52 415,744 ----a-w c:\windows\system32\perfh007.dat
+ 2008-11-30 18:42:51 415,744 ----a-w c:\windows\system32\perfh007.dat
- 2008-11-30 09:08:52 401,200 ----a-w c:\windows\system32\perfh009.dat
+ 2008-11-30 18:42:51 401,200 ----a-w c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"ATIMACE"="c:\programme\ATI Technologies\ATI.ACE\MACE.exe" [2006-01-04 81920]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"AWatch"="c:\programme\FRITZ!DSL\Awatch.exe" [2003-06-10 507904]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"AOLDialer"="c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 70952]
"HostManager"="c:\programme\Gemeinsame Dateien\AOL\1212558516\ee\AOLSoftware.exe" [2006-09-26 50736]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-01-31 98304]
"SoundMan"="SOUNDMAN.EXE" [2005-11-11 c:\windows\soundman.exe]
"CHotkey"="mHotkey.exe" [2004-12-08 c:\windows\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2004-03-02 c:\windows\CNYHKey.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-10 c:\windows\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2008-06-02 0]
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
AOL 9.0 Tray-Symbol.lnk - c:\programme\AOL 9.0\aoltray.exe [2008-06-03 156784]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
OfficeManager Terminerinnerung.lnk - c:\programme\DeTeMedien\Das Telefonbuch f�r Deutschland\OMAlarm.exe [2006-01-31 196608]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.MJPG"= Pvmjpg30.dll
"msacm.divxa32"= DivXa32.acm
"msacm.l3codec"= L3codecp.acm
"aux2"= c_702021.nls
"wave1"= c_702021.nls
"mixer1"= c_702021.nls
"midi1"= c_702021.nls
"45702041"=
"aux1"= c_702021.nls
"mixer2"= c_702021.nls
"wave2"= c_702021.nls
"midi2"= c_702021.nls

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"LaunchList"=c:\programme\Pinnacle\Studio 11\LaunchList2.exe
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
"Creative Live! Cam Manager"="c:\programme\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
"ICQ"="c:\programme\ICQ6\ICQ.exe" silent
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SMSERIAL"=sm56hlpr.exe
"RealTray"=c:\programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
"TomTomHOME.exe"="c:\programme\TomTom HOME\TomTomHOME.exe" -s
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"AOLDialer"=c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
"V0380Mon.exe"=c:\windows\V0380Mon.exe
"OODefragTray"=c:\windows\system32\oodtray.exe
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\System Information\\sinf.exe"=
"r:\\Progs\\extreme\\emule.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"r:\\visiongs\\visiongs.exe"=
"q:\\ProgDVB\\ProgDVB.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\RM.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\Studio.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\PMSRegisterFile.exe"=
"c:\\Programme\\Pinnacle\\Studio 11\\programs\\umi.exe"=
"q:\\Programme\\DVBViewerTE\\ts_winlirc.exe"=
"r:\\Programme\\setup.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"=
"c:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLAcsd.exe"=
"c:\\Programme\\AOL 9.0\\waol.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\1212558516\\ee\\aolsoftware.exe"=
"r:\\extreme2\\emule.exe"=
"r:\\extreme 3\\emule.exe"=
"r:\\eMule0.49b-Mephisto_v2.1-bin\\emule.exe"=
"c:\\Programme\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\Programme\\ftp-uploader\\ftpuploader.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:UDP"= 5900:UDP:Vnc
"5800:TCP"= 5800:TCP:vnc2
"5500:TCP"= 5500:TCP:ultravnc
"5500:UDP"= 5500:UDP:ultraport
"5900:TCP"= 5900:TCPorti

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [2006-07-05 63352]
R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [2006-01-31 11970]
R2 aadev;AVM ADSL Adapter Device;c:\windows\system32\DRIVERS\aadev.sys [2007-12-27 27648]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;c:\windows\system32\DRIVERS\avmdsloe.sys [2003-06-11 39552]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;c:\windows\system32\DRIVERS\avmndsl.sys [2003-06-11 38992]
R3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);c:\windows\system32\DRIVERS\fdlubase.sys [2003-06-11 659200]
R3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [2006-01-31 138816]
R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [2006-01-31 299715]
R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;c:\windows\system32\drivers\hcw88tun.sys [2006-01-31 142913]
R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [2006-01-31 494144]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\HCW88BAR.sys [2006-01-31 23104]
R3 IMT0521;Inmax USB IMT-0521 Smartcard Reader;c:\windows\system32\Drivers\IMT0521.sys [2006-01-30 34825]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\DRIVERS\NETFWDSL.SYS [2007-12-27 336384]
R3 RLDesignVirtualAudioCableWdm;Live! Cam Virtual;c:\windows\system32\DRIVERS\livecamv.sys [2007-12-28 31616]
R3 V0380Afx;Creative Camera VF0380 Audio Effects Driver;c:\windows\system32\DRIVERS\V0380Afx.sys [2007-12-28 142656]
R3 V0380Aud;Creative Camera VF0380 Noise Cancellation APO;c:\windows\system32\DRIVERS\V0380Aud.sys [2007-12-28 94976]
R3 V0380Dev;Creative Camera VF0380 Driver;c:\windows\system32\DRIVERS\V0380Vid.sys [2007-12-28 273152]
R3 V0380Vfx;Creative Camera VF0380 Video VFX Driver;c:\windows\system32\DRIVERS\V0380Vfx.sys [2007-12-28 7168]
R3 X10Hid;X10 Hid Device;c:\windows\system32\Drivers\x10hid.sys [2006-01-31 7040]
S0 pnhmcim;pnhmcim;c:\windows\system32\drivers\zboprwao.sys []
S3 SCR33X USB Smart Card Reader;SCR33X USB Smart Card Reader;c:\windows\system32\DRIVERS\SCR33X2K.sys [2006-01-30 63608]
S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);c:\windows\system32\DRIVERS\sea1bus.sys [2008-01-01 61536]
S4 Clrsbnnssru;Clrsbnnssru;c:\windows\system32\drivers\MPE.sys [2006-01-31 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a73f7dfc-92e8-11da-97d5-806d6172696f}]
\Shell\AutoRun\command - F:\Setupx.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c0ca61f9-98b4-11da-af06-806d6172696f}]
\Shell\AutoRun\command - D:\Autorun.exe

*Newly Created Service* - ATWPKT2
*Newly Created Service* - MBR
.
Inhalt des "geplante Tasks" Ordners

2008-11-28 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-03 06:29]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Kevin\Anwendungsdaten\Mozilla\Firefox\Profiles\hxvcgzl9.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://start.icq.com/
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npRLCT4Player.dll
FF -: plugin - c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-30 20:54:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(900)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-11-30 20:56:20
ComboFix-quarantined-files.txt 2008-11-30 19:56:18
ComboFix2.txt 2008-11-30 18:08:18
ComboFix3.txt 2008-11-30 17:15:12
ComboFix4.txt 2008-11-30 09:16:16
ComboFix5.txt 2008-11-30 19:50:53

Vor Suchlauf: 18 Verzeichnis(se), 132.861.751.296 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 132,859,387,904 Bytes frei

227

#18 Hm, hast du aktuell irgendwelche USB Laufwerke an deinem PC angeschlossen? Was ist deiin Laufwerk d: ?


Lade bitte Catchme.exe und speichere sie unter den Namen test.com auf dem Desktop. Starte es gehe auf den Reiter Script und copiere dort folgendes ins weisse Fenster hinein

files to kill:
c:\windows\system32\c_702021.nls

druecke dann run und restart....
__________
MfG Ralf
SEO-Spam Hunter

#19 Also hinter Laufwerk D verbirgt sich ein virtuelles Laufwerk vom PC Hersteller Targa. Es ist praktisch eine Boot DVD als Laufwerk. Zumindestens steht es so in der Beschreibung.
Die Sache mit Catchme mache ich dann mal sofort.

#20 Wenn ich die test.com öffne erscheint ein Dos Fenster wo scanning hidden services usw. steht. Einen Reiter Script finde ich nicht.
Ich weiß ich nerve .

#21 Nimm diese http://files.thespykiller.co.uk/catchme.exe
__________
MfG Ralf
SEO-Spam Hunter

#22 Jetzt hats funktioniert.
Hier der Log:
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Processing "Files to kill:"

read file error: c:\windows\system32\c_702021.nls, Das System kann die angegebene Datei nicht finden.

Processing "Files to kill:"

read file error: c:\windows\system32\c_702021.nls, Das System kann die angegebene Datei nicht finden.

Processing "Files to kill:"

read file error: c:\windows\system32\c_702021.nls, Das System kann die angegebene Datei nicht finden.


Nach dem Neustart schweigt Antivir nun.

#23 Nimm bitte "Meine" Catchmeversion. Die ist neuer....
__________
MfG Ralf
SEO-Spam Hunter

#24 Nun steht im Fenster :
Script command not found

Jetzt :
Script completed with errors

#25 Meld dich, wenn Antivir sich wieder meldet...
__________
MfG Ralf
SEO-Spam Hunter

#26 Mache ich.
Danke dir vielmals für deine Mühe .
Selbst zu so später noch.