Home » Spyware & Browser Hijacker Support Forum » Tr/vundo.ful.9.a » Themenansicht

Tr/vundo.ful.9.a
#0
30.11.2008, 17:39
Freisler
Member

Beiträge: 50
#1 Hallo zusammen habe da ein Problem mit einm Trojaner hab mich dazu auch im Internet belesen und folgende Anleitung (http://www.trojaner-board.de/64807-tr-vundo-ful-9-remove.html) gefunden. Hab alles wie in der Anleitung beschrieben gemacht leider hat es nicht zum gewünschten Erfolg geführt Jetzt hoffe ich das ihr mir helfen könnt.

Mit freundlichen Grüssen

Kay
Seitenanfang Seitenende
30.11.2008, 17:56
raman
Moderator

Beiträge: 7805
#2 Dann zeig uns die neu erstellten Reporte von aktualisierten Combofix und Mbam Versionen
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.11.2008, 18:10
Freisler
Member

Themenstarter

Beiträge: 50
#3 sry kann dir nicht folgen. mbam????

hier mein log von combofix:

ComboFix 08-11-30.01 - Tnaf 2008-11-30 18:06:40.11 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2355 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Tnaf\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Temp\tmp3.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-28 bis 2008-11-30 ))))))))))))))))))))))))))))))
.

2008-11-30 17:54 . 2008-11-30 17:54 54,156 --ah----- c:\windows\QTFont.qfn
2008-11-30 17:54 . 2008-11-30 17:54 1,409 --a------ c:\windows\QTFont.for
2008-11-23 23:59 . 2008-11-23 23:59 <DIR> dr------- c:\dokumente und einstellungen\NetworkService\Favoriten
2008-11-13 22:40 . 2008-11-13 22:40 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Yahoo!
2008-11-13 19:36 . 2008-11-13 23:40 <DIR> d-------- c:\programme\Yahoo!
2008-11-13 19:36 . 2008-11-13 23:39 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2008-11-12 09:38 . 2008-10-24 12:10 453,632 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 09:37 . 2008-09-04 17:43 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-10-27 09:56 . 2008-11-28 22:39 512 --a------ c:\windows\system32\WTCY9853.dat
2008-10-26 19:04 . 2008-10-15 17:57 332,800 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-22 17:45 . 2008-10-22 17:45 <DIR> d-------- c:\programme\Easiestutils
2008-10-19 20:37 . 2008-10-19 20:38 <DIR> d-------- c:\programme\PMsn Paraiso
2008-10-18 19:49 . 2008-10-18 20:56 <DIR> d-a------ c:\programme\Signmaker X4
2008-10-15 21:13 . 2008-10-15 21:13 <DIR> d-------- c:\programme\WinPcap
2008-10-15 21:12 . 2008-10-23 17:41 <DIR> d-------- c:\programme\Cain
2008-10-15 10:38 . 2008-08-28 11:04 333,056 -----c--- c:\windows\system32\dllcache\srv.sys
2008-10-13 11:23 . 2008-10-13 11:23 <DIR> dr------- c:\dokumente und einstellungen\LocalService\Favoriten
2008-10-12 18:18 . 2008-10-12 18:18 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Age of Empires 3
2008-10-12 17:41 . 2008-10-12 17:41 <DIR> d-------- c:\dokumente und einstellungen\Tnaf\Anwendungsdaten\Rasterweq
2008-10-08 20:52 . 2004-03-08 23:00 124,688 --a------ c:\windows\system32\MSWINSCK.ocx
2008-10-08 19:26 . 2008-10-08 19:26 <DIR> d-------- C:\VundoFix Backups
2008-10-08 18:58 . 2005-08-23 10:35 344,064 --a------ c:\windows\system32\MSVCR70.DLL
2008-10-08 18:44 . 2008-10-08 18:54 <DIR> d-------- c:\programme\Gemeinsame Dateien\fwc
2008-10-08 18:44 . 2008-10-08 19:17 <DIR> d-------- c:\programme\Fake Webcam
2008-10-08 15:31 . 2008-10-08 15:31 <DIR> d-------- c:\programme\MegaSpoof
2008-10-08 15:31 . 2003-07-08 09:13 28,672 --a------ c:\windows\system32\sizelimit.ocx
2008-10-07 16:12 . 2008-11-27 21:02 <DIR> d-------- c:\programme\MessengerDiscovery
2008-10-07 16:12 . 2004-03-08 23:00 609,824 --a------ c:\windows\system32\COMCTL32.ocx
2008-10-02 18:48 . 2007-07-03 18:10 148,776 --a------ c:\windows\system32\ImageDrive.cpl
2008-10-01 19:19 . 2008-08-14 14:36 2,188,288 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-01 19:19 . 2008-08-14 14:35 2,145,280 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-01 19:19 . 2008-08-14 14:36 2,065,280 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-01 19:19 . 2008-08-14 14:35 2,023,424 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-01 13:06 . 2008-10-01 13:06 <DIR> d-------- c:\programme\Hijack This
2008-10-01 13:06 . 2008-10-01 13:29 <DIR> d-------- C:\Hijack This
2008-10-01 12:42 . 2008-09-09 23:04 38,528 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-30 16:46 --------- d-----w c:\programme\BitTorrent Fastest Tool
2008-11-28 16:44 2,516 --sha-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2008-11-23 10:18 --------- d-----w c:\dokumente und einstellungen\Tnaf\Anwendungsdaten\The Bat!
2008-11-23 09:27 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-22 13:11 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-11-13 17:42 --------- d-----w c:\dokumente und einstellungen\Tnaf\Anwendungsdaten\ICQ
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 17:17 --------- d-----w c:\programme\NetAnts
2008-10-21 05:40 --------- d-----w c:\programme\Microsoft Silverlight
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-12 15:36 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-05 18:29 --------- d--h--w c:\programme\InstallShield Installation Information
2008-10-05 17:02 --------- d-----w c:\dokumente und einstellungen\Tnaf\Anwendungsdaten\Bioshock
2008-10-03 18:17 --------- d-----w c:\programme\ICQ6
2008-10-01 11:46 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2008-09-30 18:23 --------- d-----w c:\programme\AMD
2008-09-30 18:01 --------- d-----w c:\programme\CamAlert
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-30 14:11 --------- d-----w c:\programme\Canon
2008-09-30 14:04 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-09-30 12:28 --------- d-----w c:\programme\Lavasoft
2008-09-30 12:28 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-30 12:27 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-09-30 12:04 --------- d-----w c:\programme\VT
2008-09-30 12:03 --------- d-----w c:\programme\webcamXP
2008-09-28 22:02 --------- d-----w c:\programme\Google
2008-09-28 21:59 --------- d-----w c:\programme\Teamspeak2_RC2
2008-09-28 21:57 --------- d-----w c:\programme\Macromedia
2008-09-28 19:03 --------- d-----w c:\programme\XP Codec Pack
2008-09-28 18:57 --------- d-----w c:\programme\IrfanView
2008-09-27 13:58 22,328 ----a-w c:\dokumente und einstellungen\Tnaf\Anwendungsdaten\PnkBstrK.sys
2008-09-27 13:57 669,184 ----a-w c:\windows\system32\pbsvc.exe
2008-09-27 13:57 66,872 ----a-w c:\windows\system32\PnkBstrA.exe
2008-09-27 13:57 103,736 ----a-w c:\windows\system32\PnkBstrB.exe
2008-09-15 15:37 1,846,144 ----a-w c:\windows\system32\win32k.sys
2008-09-07 17:03 499,712 ----a-w c:\windows\system32\msvcp71.dll
2008-09-04 16:43 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-09-01 11:32 737,280 ----a-w c:\windows\iun6002.exe
2008-08-29 19:06 1,350,664 ----a-w c:\windows\system32\msxml6.dll
2008-08-20 05:35 665,088 ----a-w c:\windows\system32\wininet.dll
2008-08-14 13:35 2,145,280 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:35 2,023,424 ----a-w c:\windows\system32\ntkrnlpa.exe
2008-03-01 17:03 8 --sh--r c:\dokumente und einstellungen\All Users\Anwendungsdaten\1FDD298875.sys
2007-10-18 11:14 818 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\amlistx.dat
2007-06-21 21:57 25,600 ----a-w c:\dokumente und einstellungen\Tnaf\usbsermptxp.sys
2007-06-21 21:57 22,768 ----a-w c:\dokumente und einstellungen\Tnaf\usbsermpt.sys
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2008-03-01 16:34 2,516 --sha-w c:\windows\system32\KGyGaAvL.sys
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
.

((((((((((((((((((((((((((((( snapshot@2008-11-23_22.39.30.17 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-10-01 14:15:08 2,027,520 ----a-w c:\windows\ERUNT\SDFIX\Users\00000001\ntuser.dat
+ 2008-11-23 22:07:55 2,052,096 ----a-w c:\windows\ERUNT\SDFIX\Users\00000001\ntuser.dat
- 2008-10-01 14:15:08 8,192 ----a-w c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-11-23 22:07:55 8,192 ----a-w c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"TuneUp MemOptimizer"="c:\programme\TuneUp Utilities 2008\MemOptimizer.exe" [2007-12-14 414976]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-21 1211176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2006-11-17 77824]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.FFDS"= ffdshow.ax
"msacm.ac3filter"= ac3filter.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SweetIM"=c:\programme\Macrogaming\SweetIM\SweetIM.exe
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"CCleaner"="c:\programme\CCleaner\CCleaner.exe" /AUTO
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" -lang 1033
"SpybotSD TeaTimer"=c:\programme\Spybot - Search & Destroy\TeaTimer.exe
"Uniblue RegistryBooster 2"=c:\programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
"TuneUp MemOptimizer"="c:\programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
"GhostStartTrayApp"=c:\programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
"RTHDCPL"=RTHDCPL.EXE
"SkyTel"=SkyTel.EXE
"SweetIM"=c:\programme\Macrogaming\SweetIM\SweetIM.exe
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"Alcmtr"=ALCMTR.EXE
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"NBKeyScan"="f:\nero 7\Nero BackItUp\NBKeyScan.exe"
"SWClient"=c:\programme\SoftActivity\AMSys\swsys.exe
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"g:\\Vietcong\\vietcong.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\webcamXP\\webcamXP.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Dokumente und Einstellungen\\Tnaf\\temp\\TeamViewer3\\TeamViewer.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"g:\\Anno1701\\Anno1701AddOn.exe"=
"c:\\Programme\\MessengerDiscovery\\MessengerDiscovery Live.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"g:\\Programme\\Microsoft Games\\Age of Empires III\\age3y.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 mv614x;mv614x;c:\windows\system32\DRIVERS\mv614x.sys [2007-01-18 63232]
R0 videX32;videX32;c:\windows\system32\DRIVERS\videX32.sys [2007-01-18 9728]
R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\DRIVERS\xfilt.sys [2007-01-18 11264]
R1 GhPciScan;GhostPciScanner;\??\c:\programme\Symantec\Norton Ghost 2003\ghpciscan.sys [2003-05-28 5632]
R2 PSI_SVC_2;Protexis Licensing V2;"c:\programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe" [2007-07-24 185632]
R2 WTService;WTService;c:\windows\system32\atwtusb.exe [2007-10-24 315392]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;c:\windows\system32\DRIVERS\atl01_xp.sys [2007-01-18 35712]
S3 CAM1690;USB PC Camera;c:\windows\system32\Drivers\cam1690.sys [2007-11-21 181888]
S3 DTT200U;DTT200U DVB-T USB receiver Driver;c:\windows\system32\Drivers\DTT200U.sys [2004-09-06 18432]
S3 DTT200ULD;DTT200U DVB-T USB receiver firmware loader;c:\windows\system32\Drivers\DTT200ULD.sys [2004-12-15 18560]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;"c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" []
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 34064]
S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\DRIVERS\LV532AV.SYS [2008-08-26 152576]
S3 SAgentDriver;SAgent Driver;\??\c:\programme\SoftActivity\AMSys\sagendrv.sys []
S3 Usblink;Usblink Driver;c:\windows\system32\Drivers\ulink.sys [2007-08-11 40060]
S3 VT001VID;VT VT001 Camera;c:\windows\system32\DRIVERS\VT001Vid.sys [2008-09-30 4880896]
S4 hpt3xx;hpt3xx; []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3bb00e2a-c9c5-11dc-bd81-0018f37fc7a4}]
\Shell\AutoRun\command - E:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ac1e9b12-c6dd-11dc-bd75-0018f37fc7a4}]
\Shell\AutoRun\command - N:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2008-05-14 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 12:17]

2008-04-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Tnaf\Anwendungsdaten\Mozilla\Firefox\Profiles\fk42uflg.default\
FF -: plugin - c:\programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - c:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - c:\programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF -: plugin - c:\programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF -: plugin - c:\programme\Microsoft Silverlight\2.0.31005.0\npctrl.1.0.30716.0.dll
FF -: plugin - c:\programme\Microsoft Silverlight\2.0.31005.0\npctrl.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-30 18:08:24
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryDirectoryFile, ZwQuerySystemInformation

Scanne versteckte Prozesse...

c:\windows\system32\.f5996bd7f98b816e\f5996bd7f98b816e.exe [1144] 0x89C24DA0

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\TEMP\tmp256.tmp.f5996bd7f98b816e.tmp 22115 bytes executable
c:\windows\TEMP\tmp29.tmp.f5996bd7f98b816e.tmp 22115 bytes executable
c:\windows\TEMP\tmp2B.tmp.f5996bd7f98b816e.tmp 22115 bytes executable
c:\windows\TEMP\tmp39.tmp.f5996bd7f98b816e.tmp 22115 bytes executable
c:\windows\system32\.f5996bd7f98b816e

Scan erfolgreich abgeschlossen
versteckte Dateien: 5

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\f5996bd7f98b816e]
"ImagePath"="c:\windows\system32\.f5996bd7f98b816e\f5996bd7f98b816e.exe"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(956)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-11-30 18:09:32
ComboFix-quarantined-files.txt 2008-11-30 17:09:12
ComboFix2.txt 2008-11-23 21:52:51

Vor Suchlauf: 19 Verzeichnis(se), 13.258.178.560 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 13,248,163,840 Bytes frei

256 --- E O F --- 2008-11-12 10:33:32


Gruß Kay
Seitenanfang Seitenende
30.11.2008, 18:20
raman
Moderator

Beiträge: 7805
#4 Mache bitte folgendes:


1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code

http://board.protecus.de/t35500.htm

collect::
c:\windows\system32\.f5996bd7f98b816e\f5996bd7f98b816e.exe

Folder::
c:\windows\system32\.f5996bd7f98b816e



3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. Folge den dort angegebenen Anweisungen.

Poste den neu erstellten Combofix Report

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.11.2008, 18:53
Freisler
Member

Themenstarter

Beiträge: 50
#5 hier der log allerdings kam kein popup fenster:

ComboFix 08-11-30.01 - Tnaf 2008-11-30 18:37:43.12 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2351 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Tnaf\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Tnaf\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\.f5996bd7f98b816e
c:\windows\system32\.f5996bd7f98b816e\f5996bd7f98b816e.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-28 bis 2008-11-30 ))))))))))))))))))))))))))))))
.

2008-11-30 17:54 . 2008-11-30 17:54 54,156 --ah----- c:\windows\QTFont.qfn
2008-11-30 17:54 . 2008-11-30 17:54 1,409 --a------ c:\windows\QTFont.for
2008-11-23 23:59 . 2008-11-23 23:59 <DIR> dr------- c:\dokumente und einstellungen\NetworkService\Favoriten
2008-11-13 22:40 . 2008-11-13 22:40 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Yahoo!
2008-11-13 19:36 . 2008-11-13 23:40 <DIR> d-------- c:\programme\Yahoo!
2008-11-13 19:36 . 2008-11-13 23:39 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo!
2008-11-12 09:38 . 2008-10-24 12:10 453,632 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 09:37 . 2008-09-04 17:43 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-10-27 09:56 . 2008-11-28 22:39 512 --a------ c:\windows\system32\WTCY9853.dat
2008-10-26 19:04 . 2008-10-15 17:57 332,800 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-22 17:45 . 2008-10-22 17:45 <DIR> d-------- c:\programme\Easiestutils
2008-10-19 20:37 . 2008-10-19 20:38 <DIR> d-------- c:\programme\PMsn Paraiso
2008-10-18 19:49 . 2008-10-18 20:56 <DIR> d-a------ c:\programme\Signmaker X4
2008-10-15 21:13 . 2008-10-15 21:13 <DIR> d-------- c:\programme\WinPcap
2008-10-15 21:12 . 2008-10-23 17:41 <DIR> d-------- c:\programme\Cain
2008-10-15 10:38 . 2008-08-28 11:04 333,056 -----c--- c:\windows\system32\dllcache\srv.sys
2008-10-13 11:23 . 2008-10-13 11:23 <DIR> dr------- c:\dokumente und einstellungen\LocalService\Favoriten
2008-10-12 18:18 . 2008-10-12 18:18 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Age of Empires 3
2008-10-12 17:41 . 2008-10-12 17:41 <DIR> d-------- c:\dokumente und einstellungen\Tnaf\Anwendungsdaten\Rasterweq
2008-10-08 20:52 . 2004-03-08 23:00 124,688 --a------ c:\windows\system32\MSWINSCK.ocx
2008-10-08 19:26 . 2008-10-08 19:26 <DIR> d-------- C:\VundoFix Backups
2008-10-08 18:58 . 2005-08-23 10:35 344,064 --a------ c:\windows\system32\MSVCR70.DLL
2008-10-08 18:44 . 2008-10-08 18:54 <DIR> d-------- c:\programme\Gemeinsame Dateien\fwc
2008-10-08 18:44 . 2008-10-08 19:17 <DIR> d-------- c:\programme\Fake Webcam
2008-10-08 15:31 . 2008-10-08 15:31 <DIR> d-------- c:\programme\MegaSpoof
2008-10-08 15:31 . 2003-07-08 09:13 28,672 --a------ c:\windows\system32\sizelimit.ocx
2008-10-07 16:12 . 2008-11-27 21:02 <DIR> d-------- c:\programme\MessengerDiscovery
2008-10-07 16:12 . 2004-03-08 23:00 609,824 --a------ c:\windows\system32\COMCTL32.ocx
2008-10-02 18:48 . 2007-07-03 18:10 148,776 --a------ c:\windows\system32\ImageDrive.cpl
2008-10-01 19:19 . 2008-08-14 14:36 2,188,288 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-01 19:19 . 2008-08-14 14:35 2,145,280 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-01 19:19 . 2008-08-14 14:36 2,065,280 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-01 19:19 . 2008-08-14 14:35 2,023,424 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-01 13:06 . 2008-10-01 13:06 <DIR> d-------- c:\programme\Hijack This
2008-10-01 13:06 . 2008-10-01 13:29 <DIR> d-------- C:\Hijack This
2008-10-01 12:42 . 2008-09-09 23:04 38,528 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-30 16:46 --------- d-----w c:\programme\BitTorrent Fastest Tool
2008-11-28 16:44 2,516 --sha-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2008-11-23 10:18 --------- d-----w c:\dokumente und einstellungen\Tnaf\Anwendungsdaten\The Bat!
2008-11-23 09:27 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-22 13:11 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-11-13 17:42 --------- d-----w c:\dokumente und einstellungen\Tnaf\Anwendungsdaten\ICQ
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 17:17 --------- d-----w c:\programme\NetAnts
2008-10-21 05:40 --------- d-----w c:\programme\Microsoft Silverlight
2008-10-12 15:36 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-05 18:29 --------- d--h--w c:\programme\InstallShield Installation Information
2008-10-05 17:02 --------- d-----w c:\dokumente und einstellungen\Tnaf\Anwendungsdaten\Bioshock
2008-10-03 18:17 --------- d-----w c:\programme\ICQ6
2008-10-01 11:46 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2008-09-30 18:23 --------- d-----w c:\programme\AMD
2008-09-30 18:01 --------- d-----w c:\programme\CamAlert
2008-09-30 14:11 --------- d-----w c:\programme\Canon
2008-09-30 14:04 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-09-30 12:28 --------- d-----w c:\programme\Lavasoft
2008-09-30 12:28 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-30 12:27 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-09-30 12:04 --------- d-----w c:\programme\VT
2008-09-30 12:03 --------- d-----w c:\programme\webcamXP
2008-09-28 22:02 --------- d-----w c:\programme\Google
2008-09-28 21:59 --------- d-----w c:\programme\Teamspeak2_RC2
2008-09-28 21:57 --------- d-----w c:\programme\Macromedia
2008-09-28 19:03 --------- d-----w c:\programme\XP Codec Pack
2008-09-28 18:57 --------- d-----w c:\programme\IrfanView
2008-09-27 13:58 22,328 ----a-w c:\dokumente und einstellungen\Tnaf\Anwendungsdaten\PnkBstrK.sys
2008-09-01 11:32 737,280 ----a-w c:\windows\iun6002.exe
2008-03-01 17:03 8 --sh--r c:\dokumente und einstellungen\All Users\Anwendungsdaten\1FDD298875.sys
2007-10-18 11:14 818 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\amlistx.dat
2007-06-21 21:57 25,600 ----a-w c:\dokumente und einstellungen\Tnaf\usbsermptxp.sys
2007-06-21 21:57 22,768 ----a-w c:\dokumente und einstellungen\Tnaf\usbsermpt.sys
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2008-03-01 16:34 2,516 --sha-w c:\windows\system32\KGyGaAvL.sys
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
.

((((((((((((((((((((((((((((( snapshot@2008-11-23_22.39.30.17 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-10-01 14:15:08 2,027,520 ----a-w c:\windows\ERUNT\SDFIX\Users\00000001\ntuser.dat
+ 2008-11-23 22:07:55 2,052,096 ----a-w c:\windows\ERUNT\SDFIX\Users\00000001\ntuser.dat
- 2008-10-01 14:15:08 8,192 ----a-w c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-11-23 22:07:55 8,192 ----a-w c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"TuneUp MemOptimizer"="c:\programme\TuneUp Utilities 2008\MemOptimizer.exe" [2007-12-14 414976]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-21 1211176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2006-11-17 77824]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.FFDS"= ffdshow.ax
"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\f5996bd7f98b816e]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SweetIM"=c:\programme\Macrogaming\SweetIM\SweetIM.exe
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"CCleaner"="c:\programme\CCleaner\CCleaner.exe" /AUTO
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" -lang 1033
"SpybotSD TeaTimer"=c:\programme\Spybot - Search & Destroy\TeaTimer.exe
"Uniblue RegistryBooster 2"=c:\programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
"TuneUp MemOptimizer"="c:\programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" /background
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ISUSPM Startup"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
"GhostStartTrayApp"=c:\programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
"RTHDCPL"=RTHDCPL.EXE
"SkyTel"=SkyTel.EXE
"SweetIM"=c:\programme\Macrogaming\SweetIM\SweetIM.exe
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"Alcmtr"=ALCMTR.EXE
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"NBKeyScan"="f:\nero 7\Nero BackItUp\NBKeyScan.exe"
"SWClient"=c:\programme\SoftActivity\AMSys\swsys.exe
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"g:\\Vietcong\\vietcong.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\webcamXP\\webcamXP.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Dokumente und Einstellungen\\Tnaf\\temp\\TeamViewer3\\TeamViewer.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"g:\\Anno1701\\Anno1701AddOn.exe"=
"c:\\Programme\\MessengerDiscovery\\MessengerDiscovery Live.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"g:\\Programme\\Microsoft Games\\Age of Empires III\\age3y.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 mv614x;mv614x;c:\windows\system32\DRIVERS\mv614x.sys [2007-01-18 63232]
R0 videX32;videX32;c:\windows\system32\DRIVERS\videX32.sys [2007-01-18 9728]
R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\DRIVERS\xfilt.sys [2007-01-18 11264]
R1 GhPciScan;GhostPciScanner;\??\c:\programme\Symantec\Norton Ghost 2003\ghpciscan.sys [2003-05-28 5632]
R2 PSI_SVC_2;Protexis Licensing V2;"c:\programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe" [2007-07-24 185632]
R2 WTService;WTService;c:\windows\system32\atwtusb.exe [2007-10-24 315392]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Adapter;c:\windows\system32\DRIVERS\atl01_xp.sys [2007-01-18 35712]
S2 f5996bd7f98b816e;Microsoft DDE+ server;c:\windows\system32\.f5996bd7f98b816e\f5996bd7f98b816e.exe []
S3 CAM1690;USB PC Camera;c:\windows\system32\Drivers\cam1690.sys [2007-11-21 181888]
S3 DTT200U;DTT200U DVB-T USB receiver Driver;c:\windows\system32\Drivers\DTT200U.sys [2004-09-06 18432]
S3 DTT200ULD;DTT200U DVB-T USB receiver firmware loader;c:\windows\system32\Drivers\DTT200ULD.sys [2004-12-15 18560]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;"c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" []
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 34064]
S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\DRIVERS\LV532AV.SYS [2008-08-26 152576]
S3 SAgentDriver;SAgent Driver;\??\c:\programme\SoftActivity\AMSys\sagendrv.sys []
S3 Usblink;Usblink Driver;c:\windows\system32\Drivers\ulink.sys [2007-08-11 40060]
S3 VT001VID;VT VT001 Camera;c:\windows\system32\DRIVERS\VT001Vid.sys [2008-09-30 4880896]
S4 hpt3xx;hpt3xx; []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3bb00e2a-c9c5-11dc-bd81-0018f37fc7a4}]
\Shell\AutoRun\command - E:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ac1e9b12-c6dd-11dc-bd75-0018f37fc7a4}]
\Shell\AutoRun\command - N:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2008-05-14 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2008\OneClick.exe [2007-12-14 12:17]

2008-04-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-30 18:41:50
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(976)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Lavasoft\Ad-Aware\aawservice.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\IVT Corporation\BlueSoleil\BTNtService.exe
c:\programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
c:\programme\Symantec\Norton Ghost 2003\GhostStartService.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\wscntfy.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
c:\programme\MessengerDiscovery\MessengerDiscovery Live.exe
c:\programme\Windows Live\Messenger\usnsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-30 18:46:03 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-30 17:45:57
ComboFix2.txt 2008-11-30 17:09:34
ComboFix3.txt 2008-11-23 21:52:51

Vor Suchlauf: 19 Verzeichnis(se), 13.233.082.368 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 13,222,244,352 Bytes frei

240 --- E O F --- 2008-11-12 10:33:32

gruß kay
Seitenanfang Seitenende
30.11.2008, 19:08
raman
Moderator

Beiträge: 7805
#6 Schade, das das einsenden der DAtei nicht funktioniert hat. Aber die Malware ist nun auf jeden Fall geloescht. Erstelle bitte ein neues aktuelles Hijackthis log.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.11.2008, 19:12
Freisler
Member

Themenstarter

Beiträge: 50
#7 Hallo

Hier das Logfile



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:11:56, on 30.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PnkBstrA.exe
c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\MessengerDiscovery\MessengerDiscovery Live.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.prosieben.de/index.php?icqpath=icq
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169112239375
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1169289655500
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://nicolebachmann.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Microsoft DDE+ server (f5996bd7f98b816e) - Unknown owner - C:\WINDOWS\system32\.f5996bd7f98b816e\f5996bd7f98b816e.exe (file missing)
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Unknown owner - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - F:\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Programme\Spyware Doctor\pctsAuxs.exe (file missing)
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Programme\Spyware Doctor\pctsSvc.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: WTService - Unknown owner - C:\WINDOWS\system32\atwtusb.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Tnaf/LOKALE~1/Temp/msohtml1/01/clip_image001.jpg

--
End of file - 11518 bytes

Gruß kay
Seitenanfang Seitenende
01.12.2008, 15:30
raman
Moderator

Beiträge: 7805
#8 DAs solltest du auch noch mit Hilfe von Hijackthis beseitigen:

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - Unknown owner - C:\Programme\Spyware Doctor\pctsAuxs.exe (file missing)
O23 - Service: PC Tools Security Service (sdCoreService) - Unknown owner - C:\Programme\Spyware Doctor\pctsSvc.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (file missing)


Installiere bitte noch alle wichtigen Updates, die dir via www.windowsupdate.com angeboten werden.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1