Combofix Log - kenne mich nicht ausThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
05.12.2008, 18:47
Member
Beiträge: 47 |
||
|
||
05.12.2008, 19:29
Moderator
Beiträge: 7805 |
#2
Hallo AliceD,
Was war der Grund fuer dich ein Combofix Report zu erstellen? BTW: teste folgende Datei bitte bei Virustotal und poste den Link tzu dem Ergebniss... c:\windows\system32\odbcju32.dll __________ MfG Ralf SEO-Spam Hunter |
|
|
||
05.12.2008, 22:12
Member
Themenstarter Beiträge: 47 |
#3
Dankeschön für die flinke Hilfe
http://www.virustotal.com/de/analisis/a8c05f7ecc9b16e4c98045a5b20cf824 Ich hab einen Combofix Log erstellt, weil ich einen Trojaner hab und den bisher nicht losgeworden bin. Ich hatte auch Hijackthis, Spybot und Stinger durchlaufen lassen, genauso wie Antivir, aber er wurde nicht mehr angezeigt oder gefunden. Aber trotzdem wurde mir von Antivir immer wieder gewarnt, dass er aktiv ist. (oder wie auch immer ich die Warnung werten darf) Wie gesagt, ich kenn mich damit leider nicht gut aus. Dieser Beitrag wurde am 05.12.2008 um 22:18 Uhr von AliceD editiert.
|
|
|
||
06.12.2008, 07:05
Moderator
Beiträge: 7805 |
#4
Lass dir nicht alles aus der Nase ziehen! Was hat Antivir wo gemeldet?
Arbeite bitte die Punkte 3 und 5 aus http://board.protecus.de/t23187.htm ab und poste die entsprechenden Reporte. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.12.2008, 15:34
Member
Themenstarter Beiträge: 47 |
#5
Die Pferde wurden in
C:\WINDOWS\System32\DefLib.sys, C:\Dokumente und Einstellungen\AliceD... da wars so7.exe und x3.exe und in C:\Dokumente und Einstellungen\AliceD\Lokale EInstellungen\Temporary Internet Files\Content.IE5\0XY4IQG3\so.exe gefunden und noch zwei oder drei andere dort. Außerdem C:\9A5.tmp und C:\System Volume Information\_restore{A8D8D9A2-504F-41DC-9E3F-D1F2FD65C5E3}\RP431\A0035407.sys Mbam-Log Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1466 Windows 5.1.2600 Service Pack 2 06.12.2008 14:56:54 mbam-log-2008-12-06 (14-56-54).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 54131 Laufzeit: 5 minute(s), 17 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 13 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cca80aa2-616f-44fb-bf6f-c94495b301b0} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{cca80aa2-616f-44fb-bf6f-c94495b301b0} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\TypeLib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{cca80aa2-616f-44fb-bf6f-c94495b301b0} (Trojan.Vundo.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenUSave) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\ACM.DLL (Adware.WhenUSave) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\Save (Adware.WhenUSave) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\system32\odbcju32.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully. C:\Programme\Save\ACM.dll (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Programme\Save\ffext.mod (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Programme\Save\Save.exe (Adware.WhenUSave) -> Quarantined and deleted successfully. C:\Programme\Save\SaveNowupdate.exe (Adware.WhenUSave) -> Quarantined and deleted successfully. Combofix- Log ComboFix 08-12-05.06 - AliceD 2008-12-06 15:04:07.5 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.513 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\AliceD\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2008-11-06 bis 2008-12-06 )))))))))))))))))))))))))))))) . 2008-12-06 14:49 . 2008-12-06 14:49 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2008-12-06 14:49 . 2008-12-06 14:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-12-06 14:49 . 2008-12-06 14:49 <DIR> d-------- c:\dokumente und einstellungen\AliceD\Anwendungsdaten\Malwarebytes 2008-12-06 14:49 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-06 14:49 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-11-23 18:55 . 2008-11-23 18:55 <DIR> d-------- c:\dokumente und einstellungen\AliceD\Anwendungsdaten\Mael . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-06 13:58 --------- d-----w c:\programme\Trillian 2008-12-05 21:26 --------- d-----w c:\programme\Mozilla Thunderbird 2008-12-05 15:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-12-01 21:34 --------- d-----w c:\dokumente und einstellungen\AliceD\Anwendungsdaten\uTorrent 2008-11-28 21:01 --------- d-----w c:\programme\Burn4Free 2008-11-19 11:02 --------- d-----w c:\programme\EvilLyrics 2008-10-28 12:50 58,091 ----a-w c:\programme\messages.log 2008-10-28 12:50 --------- d-----w c:\programme\Zak2 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-10-07 15:56 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\AdobeUM 2008-10-07 15:52 --------- d-----w c:\programme\Spybot - Search & Destroy 2008-10-07 11:30 --------- d-----w c:\programme\Trend Micro 2008-09-15 15:37 1,846,144 ----a-w c:\windows\system32\win32k.sys 2007-07-17 14:24 92,064 ----a-w c:\dokumente und einstellungen\AliceD\mqdmmdm.sys 2007-07-17 14:24 9,232 ----a-w c:\dokumente und einstellungen\AliceD\mqdmmdfl.sys 2007-07-17 14:24 79,328 ----a-w c:\dokumente und einstellungen\AliceD\mqdmserd.sys 2007-07-17 14:24 66,656 ----a-w c:\dokumente und einstellungen\AliceD\mqdmbus.sys 2007-07-17 14:24 6,208 ----a-w c:\dokumente und einstellungen\AliceD\mqdmcmnt.sys 2007-07-17 14:24 5,936 ----a-w c:\dokumente und einstellungen\AliceD\mqdmwhnt.sys 2007-07-17 14:24 4,048 ----a-w c:\dokumente und einstellungen\AliceD\mqdmcr.sys 2007-07-17 14:24 25,600 ----a-w c:\dokumente und einstellungen\AliceD\usbsermptxp.sys 2007-07-17 14:24 22,768 ----a-w c:\dokumente und einstellungen\AliceD\usbsermpt.sys 1999-07-07 00:00 6 --sh--r c:\windows\@@desktop.dat 2008-02-08 18:01 8 --sh--r c:\windows\system32\7E84673C8A.sys 2008-02-08 18:58 848 --sha-w c:\windows\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-17 761945] "DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-10-06 122940] "Tvs"="c:\programme\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 73728] "SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760] "SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-04-16 819200] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-04-16 970752] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-02-19 267048] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-01-31 385024] "RTHDCPL"="RTHDCPL.EXE" [2005-12-09 c:\windows\RTHDCPL.exe] "AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 c:\windows\agrsmmsg.exe] "TFncKy"="TFncKy.exe" [BU] "TDispVol"="TDispVol.exe" [2005-09-16 c:\windows\system32\TDispVol.exe] "CFSServ.exe"="CFSServ.exe" [BU] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] c:\dokumente und einstellungen\AliceD\Startmen\Programme\Autostart\ AntiVir PersonalEdition Classic starten.lnk - c:\programme\AntiVir PersonalEdition Classic\avcenter.exe [2006-09-26 356609] TabUserW.exe.lnk - c:\windows\system32\WTablet\TabUserW.exe [2006-10-29 114688] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-09-13 110592] Sygate Personal Firewall (2).lnk - c:\programme\Sygate\SPF\Smc.exe [2004-02-24 2372760] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Trillian\\trillian.exe"= "c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe"= "c:\\Programme\\Autodesk\\Backburner\\monitor.exe"= "c:\\Programme\\Autodesk\\Backburner\\manager.exe"= "c:\\Programme\\Autodesk\\Backburner\\server.exe"= "c:\\Programme\\uTorrent\\uTorrent.exe"= S3 DLKRCB;D-Link DFE-690TXD CardBus PC Card;c:\windows\system32\DRIVERS\DLKRCB.SYS [2006-11-30 25434] S4 Cmdatdskadha;Cmdatdskadha; [] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ccd44f6-fc90-11db-8402-001302c2dd42}] \Shell\AutoRun\command - E:\LaunchU3.exe -a . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank uInternet Settings,ProxyOverride = *.local IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 TCP: {9E1312FD-C729-4455-AAFB-C11ECD279EB1} = 194.25.2.132 TCP: {A9BDAC75-55C0-4102-BC83-F21AC775AF8E} = 10.190.1.1 TCP: {B4EC39DD-0AFB-4E83-A8C6-94F58FA67F2F} = 10.190.1.1,10.190.1.163 TCP: {BA7C00FF-A1A3-47E4-94E6-69965FEB8AF4} = 192.168.1.1 FireFox -: Profile - c:\dokumente und einstellungen\AliceD\Anwendungsdaten\Mozilla\Firefox\Profiles\ayhwhvto.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://martinskloster-trier.de/forum/ FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - c:\programme\iTunes\Mozilla Plugins\npitunes.dll FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava11.dll FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava12.dll FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava13.dll FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava14.dll FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava32.dll FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPOJI610.dll FF -: plugin - c:\programme\Mozilla Firefox\plugins\npbittorrent.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-06 15:07:13 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(916) c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2008-12-06 15:08:12 ComboFix-quarantined-files.txt 2008-12-06 14:07:57 ComboFix2.txt 2008-12-05 17:37:30 Vor Suchlauf: 21 Verzeichnis(se), 21.213.081.600 Bytes frei Nach Suchlauf: 21 Verzeichnis(se), 21,213,245,440 Bytes frei 145 --- E O F --- 2008-11-12 19:11:49 Und der HijackThis- Log Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:17:20, on 06.12.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5700.0007) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Synaptics\SynTP\Toshiba.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe C:\WINDOWS\system32\PSIService.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\TDispVol.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\Programme\TOSHIBA\Tvs\TvsTray.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Tablet.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\WINDOWS\system32\WTablet\TabUserW.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe C:\Programme\Trillian\trillian.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Dokumente und Einstellungen\AliceD\Desktop\Neuer Ordner (2)\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID} R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: (no name) - {60BF5EE3-0105-4858-AD98-17C19F86B042} - (no file) O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: (no name) - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - (no file) O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [TFncKy] TFncKy.exe O4 - HKLM\..\Run: [TDispVol] TDispVol.exe O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: AntiVir PersonalEdition Classic starten.lnk = C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe O4 - Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Sygate Personal Firewall (2).lnk = C:\Programme\Sygate\SPF\Smc.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: eBay - {2D941D56-1B19-44AE-8CF5-08331A3B4CCF} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{9E1312FD-C729-4455-AAFB-C11ECD279EB1}: NameServer = 194.25.2.132 O17 - HKLM\System\CCS\Services\Tcpip\..\{A9BDAC75-55C0-4102-BC83-F21AC775AF8E}: NameServer = 10.190.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{B4EC39DD-0AFB-4E83-A8C6-94F58FA67F2F}: NameServer = 10.190.1.1,10.190.1.163 O17 - HKLM\System\CCS\Services\Tcpip\..\{BA7C00FF-A1A3-47E4-94E6-69965FEB8AF4}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{9E1312FD-C729-4455-AAFB-C11ECD279EB1}: NameServer = 194.25.2.132 O17 - HKLM\System\CS2\Services\Tcpip\..\{9E1312FD-C729-4455-AAFB-C11ECD279EB1}: NameServer = 194.25.2.132 O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programme\Adobe\Adobe Version Cue\service\VersionCue.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe -- End of file - 9746 bytes |
|
|
||
06.12.2008, 15:44
Member
Beiträge: 3716 |
#6
hallo, stell dein antivir so ein:
http://board.protecus.de/t23979.htm zusätzlich noch rootkitsuche aktiviren. schalte den teatimer von spybot aus, er kann reinigungsarbeiten verhindern!http://www.safer-networking.org/de/howto/disable.html scanne nun mit antivir alle laufwerke funde in quarantäne. achtung! er wird combofix finden, bitte ignorieren. Update nun noch einmal malwarebytes lass es scannen und funde löschen, poste das log |
|
|
||
06.12.2008, 15:51
Moderator
Beiträge: 7805 |
#7
Erstelle bitte einen Gmer Report:
http://forum.hijackthis.de/showthread.php?t=16868 __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.12.2008, 16:30
Member
Themenstarter Beiträge: 47 |
#8
Okay, hier der AV-Log
Avira AntiVir Personal Erstellungsdatum der Reportdatei: Samstag, 6. Dezember 2008 18:08 Es wird nach 1075399 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Boot Modus: Normal gebootet Benutzername: AliceD Computername: SCHREIBTISCH Versionsinformationen: BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 25.11.2008 13:29:38 AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 14:21:33 LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 14:21:34 LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 14:21:34 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 12:59:52 ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 23:54:49 ANTIVIR2.VDF : 7.1.0.160 571392 Bytes 30.11.2008 15:55:06 ANTIVIR3.VDF : 7.1.0.195 219648 Bytes 05.12.2008 15:55:20 Engineversion : 8.2.0.42 AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 12:29:01 AESCRIPT.DLL : 8.1.1.17 336251 Bytes 05.12.2008 15:56:24 AESCN.DLL : 8.1.1.5 123251 Bytes 08.11.2008 14:34:09 AERDL.DLL : 8.1.1.3 438645 Bytes 05.11.2008 13:40:21 AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 18:50:31 AEOFFICE.DLL : 8.1.0.32 196987 Bytes 06.12.2008 15:55:20 AEHEUR.DLL : 8.1.0.74 1519990 Bytes 05.12.2008 15:56:22 AEHELP.DLL : 8.1.2.0 119159 Bytes 20.11.2008 16:30:14 AEGEN.DLL : 8.1.1.6 323955 Bytes 29.11.2008 13:36:11 AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 12:28:55 AECORE.DLL : 8.1.5.2 172405 Bytes 29.11.2008 13:36:10 AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 12:28:53 AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 14:21:33 AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 14:21:33 AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 19:26:29 AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 14:21:33 AVARKT.DLL : 1.0.0.23 307457 Bytes 14.04.2008 20:27:23 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 14:21:33 SQLITE3.DLL : 3.3.17.1 339968 Bytes 14.04.2008 20:27:24 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 14:21:34 NETNT.DLL : 8.0.0.1 7937 Bytes 14.04.2008 20:27:24 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 14:21:25 RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 14:21:25 Konfiguration für den aktuellen Suchlauf: Job Name.........................: ShlExt Konfigurationsdatei..............: C:\DOKUME~1\AliceD\LOKALE~1\Temp\9b66bed2.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: ein Durchsuche Bootsektoren..........: ein Bootsektoren.....................: C:, Durchsuche aktive Programme......: aus Durchsuche Registrierung.........: aus Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Samstag, 6. Dezember 2008 18:08 Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <system> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\AliceD\Desktop\ComboFix.exe [0] Archivtyp: RAR SFX (self extracting) --> 32788R22FWJFW\hidec.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes [WARNUNG] Die Datei wurde ignoriert. Ende des Suchlaufs: Samstag, 6. Dezember 2008 19:24 Benötigte Zeit: 1:16:18 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 8726 Verzeichnisse wurden überprüft 418156 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 418154 Dateien ohne Befall 9591 Archive wurden durchsucht 2 Warnungen 0 Hinweise Und Mbam Malwarebytes' Anti-Malware 1.31 Datenbank Version: 1470 Windows 5.1.2600 Service Pack 2 07.12.2008 16:06:21 mbam-log-2008-12-07 (16-06-21).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 54136 Laufzeit: 5 minute(s), 16 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) und der Gmer-Log GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-12-07 16:26:47 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT F7D91684 ZwCreateThread SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwMapViewOfSection [0xF79F78D0] SSDT F7D91670 ZwOpenProcess SSDT F7D91675 ZwOpenThread SSDT \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) ZwShutdownSystem [0xF79F7E70] SSDT F7D9167F ZwTerminateProcess SSDT F7D9167A ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.14 ---- .text tcpip.sys!IPTransmit + 10BC EE76FCFA 6 Bytes CALL F74A0200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) .text tcpip.sys!IPTransmit + 2810 EE77144E 6 Bytes CALL F74A0200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) .text tcpip.sys!ARPRcv + 506D EE7764E0 6 Bytes CALL F74A0200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) .text wanarp.sys F782B3FD 4 Bytes CALL F74A0350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) .text wanarp.sys F782B402 2 Bytes [ 90, 90 ] ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\tcpip6.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\tcpip6.sys[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\tcpip6.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\tcpip6.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\nwlnkipx.sys[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\nwlnkipx.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\nwlnkipx.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\nwlnkipx.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\rspndr.sys[NDIS.SYS!NdisRegisterProtocol] [F74A0B30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\rspndr.sys[NDIS.SYS!NdisOpenAdapter] [F74A0D50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\rspndr.sys[NDIS.SYS!NdisDeregisterProtocol] [F74A0CB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) IAT \SystemRoot\system32\DRIVERS\rspndr.sys[NDIS.SYS!NdisCloseAdapter] [F74A0DB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.) ---- Devices - GMER 1.0.14 ---- Device \Driver\Tcpip \Device\Ip wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) Device \Driver\Tcpip \Device\Tcp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) Device \Driver\Tcpip \Device\Udp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) Device \Driver\Tcpip \Device\RawIp wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) Device \Driver\Tcpip \Device\IPMULTICAST wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.) Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions) ---- EOF - GMER 1.0.14 ---- |
|
|
||
07.12.2008, 16:38
Moderator
Beiträge: 7805 |
#9
Das sieht gut aus. Mache nun bitte alle fehlenden wichtigen Updates von www.windowsupdate.com. Wiederhole das so oft, bis dir keine Updates mehr angeboten werden.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.12.2008, 16:44
Member
Themenstarter Beiträge: 47 |
#10
Dankeschön. Ihr habt mir sehr geholfen.
|
|
|
||
10.12.2008, 16:57
Member
Themenstarter Beiträge: 47 |
#11
Hab ein weiteres Problem.
Als ich eben versucht hab, Combofix zu löschen, wie auf der Webseite beschrieben, bekam ich prompt ne Viruswarnung von AV... ich hab die Einstellungen mal so gelassen, wie ihr mir empfohlen habt. Anscheinend enthält eine Datei Erkennungsmuster eines SPR/Tool.Hide.A-Programms... aber anscheinend braucht Combofix die Datei um sich zu deinstallieren oder so, denn er beschwert sich, dass er die Datei nicht finden konnte. Die Datei um die es sich handelt ist die hier: C\32788R22FWJFW\hidec.exe Dieser Beitrag wurde am 10.12.2008 um 17:02 Uhr von AliceD editiert.
|
|
|
||
10.12.2008, 17:03
Moderator
Beiträge: 7805 |
#12
Ja, SPR solltest du bei Antivir aus der Erkennung herausnehmen. Da meldet es einiges "harmloses"...
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
10.12.2008, 17:07
Member
Themenstarter Beiträge: 47 |
#13
Okay, dankeschön, jetzt hats geklappt.
|
|
|
||
17.12.2008, 08:47
...neu hier
Beiträge: 1 |
#14
Da mir die verschiedenen Foren schon öfter geholfen haben, jetzt mal eine Rückkopplung:
Über eine versiffte Internetseite habe ich mir diverse Schadsoftware auf den Rechner geholt, obwohl McAfee aktiv war. Ergebnis: bei Google-Abfragen wurde ich immer wieder auf bestimmte Seiten weitergeleitet: z.B. blinkx.com. Zu Zweiten wurde der Download diverses Hilfsprogramme blockiert: Combofix, Maleware etc. Spybot wurde in der Ausführung blockiert und der Besuch best. Foren verhindert. Bereits im Bootsektor saß ein Virus Zum Dritten wurde die Wiederherstellungskonsole blockiert. Lösung: Über Avira div. Schadsoftware gelöscht. Super ist zusätzlich Rising Antivirus. Nach meinem Eindruck hat es den Virus im Bootsektor gelöscht und bietet einen Virusscan beim Hochfahren an. Per USB-Stick von einem Freund Combofix besorgt. Ich verstehe jetzt, dass die Verbrecher, die die Maleware programmiert haben, den Download blockiert haben. Hat alle Probleme gelöst. Danach Spybot (funktioniert wieder),Malewarebaytes, Smitfraudfix geladen und über den Rechner geschickt. Im Anhang das Protokoll von Combofix - falls es einem hilft Anhang: ComboFix.txt
|
|
|
||
Das Programm wurde mir von einer Freundin empfohlen, allerdings hat sie auch nicht mehr Ahnung davon, wie ich.
Ich poste einfach mal das Logfile und hoffe, dass ihr mir helfen könnt.
ComboFix 08-12-05.01 - AliceD 2008-12-05 18:34:42.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.547 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\AliceD\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
((((((((((((((((((((((( Dateien erstellt von 2008-11-05 bis 2008-12-05 ))))))))))))))))))))))))))))))
.
2008-11-23 18:55 . 2008-11-23 18:55 <DIR> d-------- c:\dokumente und einstellungen\AliceD\Anwendungsdaten\Mael
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-05 17:17 --------- d-----w c:\programme\Mozilla Thunderbird
2008-12-05 15:54 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-12-04 21:06 --------- d-----w c:\programme\Trillian
2008-12-01 21:34 --------- d-----w c:\dokumente und einstellungen\AliceD\Anwendungsdaten\uTorrent
2008-11-28 21:01 --------- d-----w c:\programme\Burn4Free
2008-11-19 11:02 --------- d-----w c:\programme\EvilLyrics
2008-10-28 12:50 58,091 ----a-w c:\programme\messages.log
2008-10-28 12:50 --------- d-----w c:\programme\Zak2
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-07 15:56 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-10-07 15:52 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-10-07 11:30 --------- d-----w c:\programme\Trend Micro
2008-09-15 15:37 1,846,144 ----a-w c:\windows\system32\win32k.sys
2007-07-17 14:24 92,064 ----a-w c:\dokumente und einstellungen\AliceD\mqdmmdm.sys
2007-07-17 14:24 9,232 ----a-w c:\dokumente und einstellungen\AliceD\mqdmmdfl.sys
2007-07-17 14:24 79,328 ----a-w c:\dokumente und einstellungen\AliceD\mqdmserd.sys
2007-07-17 14:24 66,656 ----a-w c:\dokumente und einstellungen\AliceD\mqdmbus.sys
2007-07-17 14:24 6,208 ----a-w c:\dokumente und einstellungen\AliceD\mqdmcmnt.sys
2007-07-17 14:24 5,936 ----a-w c:\dokumente und einstellungen\AliceD\mqdmwhnt.sys
2007-07-17 14:24 4,048 ----a-w c:\dokumente und einstellungen\AliceD\mqdmcr.sys
2007-07-17 14:24 25,600 ----a-w c:\dokumente und einstellungen\AliceD\usbsermptxp.sys
2007-07-17 14:24 22,768 ----a-w c:\dokumente und einstellungen\AliceD\usbsermpt.sys
1999-07-07 00:00 6 --sh--r c:\windows\@@desktop.dat
2008-02-08 18:01 8 --sh--r c:\windows\system32\7E84673C8A.sys
2008-02-08 18:58 848 --sha-w c:\windows\system32\KGyGaAvL.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CCA80AA2-616F-44FB-BF6F-C94495B301B0}]
2007-06-07 21:54 32134 --a------ c:\windows\system32\odbcju32.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-17 761945]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-10-06 122940]
"Tvs"="c:\programme\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 73728]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-04-16 819200]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-04-16 970752]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-02-19 267048]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-01-31 385024]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 c:\windows\RTHDCPL.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 c:\windows\agrsmmsg.exe]
"TFncKy"="TFncKy.exe" [BU]
"TDispVol"="TDispVol.exe" [2005-09-16 c:\windows\system32\TDispVol.exe]
"CFSServ.exe"="CFSServ.exe" [BU]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-09-13 110592]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Toshiba\\ConfigFree\\CFXFER.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Autodesk\\3ds Max 9\\3dsmax.exe"=
"c:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"c:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"c:\\Programme\\Autodesk\\Backburner\\server.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
S3 DLKRCB;D-Link DFE-690TXD CardBus PC Card;c:\windows\system32\DRIVERS\DLKRCB.SYS [2006-11-30 25434]
S3 Perpfakhss;Perpfakhss; []
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ccd44f6-fc90-11db-8402-001302c2dd42}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {9E1312FD-C729-4455-AAFB-C11ECD279EB1} = 194.25.2.132
TCP: {A9BDAC75-55C0-4102-BC83-F21AC775AF8E} = 10.190.1.1
TCP: {B4EC39DD-0AFB-4E83-A8C6-94F58FA67F2F} = 10.190.1.1,10.190.1.163
TCP: {BA7C00FF-A1A3-47E4-94E6-69965FEB8AF4} = 192.168.1.1
FireFox -: Profile - c:\dokumente und einstellungen\AliceD\Anwendungsdaten\Mozilla\Firefox\Profiles\ayhwhvto.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://martinskloster-trier.de/forum/
FF -: plugin - c:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava11.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava12.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava13.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava14.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJava32.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll
FF -: plugin - c:\programme\Java\jre1.5.0_04\bin\NPOJI610.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npbittorrent.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-05 18:36:23
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(932)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-12-05 18:37:28
ComboFix-quarantined-files.txt 2008-12-05 17:37:22
ComboFix2.txt 2008-12-05 17:15:34
Vor Suchlauf: 21 Verzeichnis(se), 20.477.063.168 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 20,463,222,784 Bytes frei
138 --- E O F --- 2008-11-12 19:11:49