combofix txt file beunruhigend ?

#1 Hallo

kämpfe jetzt schon seit stunden mit den viren auf meinem rechner, sind wieder hartnäckige dabei .
vundo war einer von ihnen. das letzte was ich jetzt gemacht habe, nachdem ich schon (spybot, adaware, msncleaner, antivir, hijackthis) hab drüberlaufen lassen, war combofix.
jedoch finde ich sind ein paar sachen in der txt datei drin, die nicht gelöscht werrden und für mich als leien etwas beunruhigend aussehen.
oder irre ich mich und ist doch alles ok ?

ps. meine hauptprobleme waren: virtumonde, smitfraud-c., tradedoubler, vundo.


ich weiss nicht mehr weiter und hoffe alles ist ok.

vielen dank schon hier an die profis in diesem forum.

ganz liebe grüße Syriel

(allen eine fröhliche advents zeit. )





so hab vergessen die txt datei einzufügen, sorry.

schnell nachhol :

ComboFix 08-12-01.03 - Administrator 2008-12-03 14:16:06.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.392 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\jthpdezq.dat
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\jthpdezq_nav.dat
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\jthpdezq_navps.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\System32\awtsRhHb.dll
c:\windows\system32\bHhRstwa.ini
c:\windows\system32\bHhRstwa.ini2
c:\windows\system32\diteipwq.ini
c:\windows\system32\duis.txt
c:\windows\system32\elgsiqux.dll
c:\windows\System32\hfumqt.dll
c:\windows\system32\i
c:\windows\system32\iifebYPj.dll
c:\windows\system32\prunnet.exe
c:\windows\system32\qwpietid.dll
c:\windows\Tasks\sntgnixr.job

----- BITS: Eventuell infizierte Webseiten -----

hxxp://childhe.com
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DISTRIBUTED_ALLOCATED_MEMORY_UNIT
-------\Legacy_flys.q8pilots.net
-------\Service_Distributed Allocated Memory Unit
-------\Service_flys.q8pilots.net


((((((((((((((((((((((( Dateien erstellt von 2008-11-03 bis 2008-12-03 ))))))))))))))))))))))))))))))
.

2008-12-03 13:52 . 2008-12-03 13:52 <DIR> d-------- C:\MSNCleaner
2008-12-03 13:35 . 2008-12-03 13:35 <DIR> d-------- c:\programme\Enigma Software Group
2008-12-03 12:15 . 2008-12-03 12:15 32,768 --a------ c:\windows\system32\ssqOFWpo.dll
2008-12-03 12:06 . 2008-12-03 12:06 34,816 --a------ c:\windows\system32\awtuvVNF.dll.vir
2008-11-27 14:01 . 2008-11-27 14:02 <DIR> d-------- C:\CDROM
2008-11-27 13:40 . 2008-06-13 14:08 2,097,152 --a------ c:\temp\autorun.bin
2008-11-27 13:40 . 2008-05-20 10:49 1,570,816 --a------ c:\temp\TSDNWIN.exe
2008-11-26 22:41 . 2008-11-27 10:33 0 --a------ c:\windows\lgfwup.ini
2008-11-26 22:40 . 1998-07-22 00:00 102,912 --a------ c:\windows\system32\Vb6stkit.dll
2008-11-26 22:40 . 1998-07-22 00:00 102,160 --a------ c:\windows\system32\VB6KO.DLL
2008-11-26 22:40 . 2001-08-29 21:00 59,904 --a------ c:\windows\system32\wbemdisp.tlb
2008-11-26 22:02 . 2007-11-07 15:18 7,936 -ra------ c:\windows\system32\drivers\inidvd.sys
2008-11-23 21:12 . 2008-11-23 23:48 <DIR> d-------- C:\Avira
2008-11-17 20:34 . 2008-11-18 18:51 <DIR> d-------- c:\programme\GetRight
2008-11-17 20:34 . 2008-11-18 13:20 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\GetRight
2008-11-03 20:30 . 2008-11-03 20:30 <DIR> d-------- C:\SoftwarePaket9

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-03 12:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-11-27 13:10 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-23 20:04 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-11-03 19:10 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-22 20:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ElsterFormular
2008-10-22 20:05 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-10-17 10:56 --------- d-----w c:\programme\Canon
2008-10-03 13:21 48,864 ----a-w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-09-16 17:18 286,720 ----a-w c:\windows\iun507.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 262401]
"SpyHunter Security Suite"="c:\programme\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2008-10-08 864256]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-18 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= c:\progra~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
--a------ 2007-04-04 02:50 1603152 c:\programme\Canon\MyPrinter\BJMYPRT.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-08-16 12:24 167368 c:\dennis\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 11:15 3144800 c:\programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2002-08-20 15:08 1511453 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2003-05-02 20:19 4640768 c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2003-05-02 20:19 49152 c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2005-11-10 12:03 36975 c:\programme\Java\jre1.5.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tkbellexe]
--a------ 2008-05-26 14:12 185896 c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-10-10 06:28 36352 c:\dennis\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2003-05-02 20:19 323584 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NVSvc"=2 (0x2)
"MDM"=2 (0x2)
"Distributed Allocated Memory Unit"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001

.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{28f259d1-83fa-45dc-bd11-a36518ff8d68} - c:\windows\System32\hfumqt.dll
BHO-{618D3994-203A-4C39-88A8-C1BC604CBD37} - c:\windows\System32\awtsRhHb.dll
MSConfigStartUp-CanonSolutionMenu - c:\programme\Canon\SolutionMenu\CNSLMAIN.exe
MSConfigStartUp-FreePDF Assistant - c:\programme\FreePDF_XP\fpassist.exe
MSConfigStartUp-jdgf894jrghoiiskd - c:\windows\TEMP\winlogan.exe
MSConfigStartUp-oodefragtray - c:\windows\System32\oodtray.exe
MSConfigStartUp-Skype - c:\programme\Skype\Phone\Skype.exe
MSConfigStartUp-SpybotSD TeaTimer - c:\spybot - search & destroy\TeaTimer.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\fzghnhry.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
FF -: plugin - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - c:\programme\DNA\plugins\npbtdna.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF -: plugin - c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF -: plugin - c:\programme\Yahoo!\Common\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-03 14:22:15
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\inidvd]
"ImagePath"=multi:"system32\DRIVERS\inidvd.sys\00"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\everest corporate edition\kerneld.wnt"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\inidvd]
"ImagePath"=multi:"system32\DRIVERS\inidvd.sys\00"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\njqzpir]
"ImagePath"="\??\c:\windows\njqzpir.sys"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(504)
c:\windows\system32\sfc_os.dll
c:\windows\system32\ODBC32.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(560)
c:\windows\System32\dssenh.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\ad-aware\aawservice.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-03 14:26:14 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-12-03 13:26:05

Vor Suchlauf: 22 Verzeichnis(se), 18.837.921.792 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 18,186,944,512 Bytes frei

178

#2 DAs sieht so nicht gut aus.

Pruefe
c:\windows\system32\ssqOFWpo.dll
c:\windows\njqzpir.sys
c:\windows\system32\DRIVERS\inidvd.sys

bitte bei Virustotal und poste die Links zu den Ergebnisse
__________
MfG Ralf
SEO-Spam Hunter

#3 Ok danke dann waren meine befürchtungen wirklich war schade

hier die links (sieht nicht gut aus) :

http://www.virustotal.com/de/analisis/b3f44ca5e1fde23a9f1d9147adfbe6a4

http://www.virustotal.com/vt/de/recepcion?a31af201620613c2a0cf50522a47f66e
hier kommt eine fehler meldung:
0 bytes size received / Se ha recibido un archivo vacio
die datei wird also nicht überprüft.

http://www.virustotal.com/de/analisis/218547b015ac5778fca7943ba0db98f0


mfg Syriel

#4 Nutze bitte Mbam und poste, was es gefunden und geloescht hat. Danach erstelle ein neues Combofix Log.

http://board.protecus.de/t23187.htm
__________
MfG Ralf
SEO-Spam Hunter

#5 habe beide sachen ausgeführt, combofix txt ist angehangen und mbam habe ich hier hinein kopiert.

wie steht es den genau um meinen pc ? sind es nur kleinigkeiten oder ist es schon was ernsteres?

mfg Syriel

mbam bericht:
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1461
Windows 5.1.2600

05.12.2008 09:19:44
mbam-log-2008-12-05 (09-19-37).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 47117
Laufzeit: 5 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ssqOFWpo.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\awtuvVNF.dll.vir (Trojan.Vundo) -> No action taken.
C:\WINDOWS\njqzpir.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.

#6 Also Malwaretechnisch sehe ich nichts mehr, aber du musst dein System schleunigst mit dem SP3 und folgende nachruesten. Das sp3 bekommst du hier:

https://www.microsoft.com/downloads/details.aspx?FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4&DisplayLang=de
__________
MfG Ralf
SEO-Spam Hunter

#7 Ja das werde ich machen,
vielen vielen dank für die hilfe.
Riesen großes kompliment an Raman und an alle hier im Forum, ihr seid echt spitze.


ps. eine letzte frage habe ich noch ganz kurz,
ich habe einen usb stick, spybot und antivir haben nichts gefunden als ich ihn damit überprüft habe, aber auf meinem rechner ja auch nicht mehr.
Besteht da gefahr ? besonders auch für die leute, habe gestern noch einem bekannten eine datei überspielt.

Ein riesiges DANKE

#8 Wenn du noch "Autostart" aktiviert hast bei externen Medien/Datentraeger, koennte das zum Problem werden. Einfach den Stick mit dem Rechner verbinden, wenn dieser aus ist, startest du den Rechner so, umgehst du den Autostart. Schaue, ob sich auf dem Stick eine Datei Namens autostart.ini befindet und benenne sie um. In diesen DAteien steht, was gestartet werden soll, wenn der Stick angesteckt wird. Es kann sein, das du versteckte Dateien sichtbar machen musst, damit du sie finden kannst:
http://freenet-homepage.de/rene-gad/invisible.html
__________
MfG Ralf
SEO-Spam Hunter

#9 habe ich genauso gemacht, es gibt dort jedoch keine autostart datei, dort sind nur dateien drauf die ich rein kopiert habe, ansonsten ist er komplett leer.

#10 Dann sollte sich dort keine Malware befinden. Aber das kann siech aendern, sobald du den Stick an andere Rechner anschliesst!
__________
MfG Ralf
SEO-Spam Hunter