You have a security problem, my online scan und Co.

#0
06.01.2009, 07:01
Member

Beiträge: 18
#1 Guten Morgen allerseits,

der Rechner eines Bekannten hatte gestern einen totalen Crash:

Folgende Symptome:

- "You have a security problem" unten rechts in Taskleiste
- diverse Warnungsbombardements über Dialogboxen
- "My computer online scan" startet nahezu willkürlich einen "Scan"

Dazu kam anfangs das Problem, dass Anti-Malware und auch ComboFix (wie in anderen Beiträgen empfohlen) überhaupt nicht starteten. Erst ein Scan mit Norman Malware Cleaner brachte erste Erfolge. Danach war allerdings auch zappenduster, weil erst die Festplatte am im BIOS nicht mehr erkannt wurde (Rechner komplett ausschalten hilft manchmal!!!) und dann das Windows oder eher das gewohnte Benutzerprofil zerstört war. Über Wiederherstellungskonsole und "chkdsk /r" war das dann nach Urzeiten auch gegessen. Habe jetzt endlich im Anschluss die gewohnten logfiles und bitte mal um Überprüfung, ob das wieder alles soweit in Ordnung ist. Danke im Voraus.

ANTI-MALWARE
--------------

Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1617
Windows 5.1.2600 Service Pack 3

05.01.2009 16:14:24
mbam-log-2009-01-05 (16-14-24).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 48220
Laufzeit: 3 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 2
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{5d2631e5-8696-7543-50b2-f674cd4308eb} (Trojan.Fakealert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{343ce214-9998-4b21-a151-ffe970167297} (Rogue.Installer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\unhgaxczjfhaqkh (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\virusremover2008 (Rogue.VirusRemove) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\MSFox (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CrucialSoft Ltd (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CrucialSoft Ltd\MS AntiSpyware 2009 (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\unhgaxczjfhaqkh.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\shLlryXF.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.



---------------------------------------------------------------------------

COMBOFIX
----------

ComboFix 09-01-05.01 - Titz 2009-01-05 16:26:24.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.511.374 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Titz\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\TDSSpqlt.sys
c:\windows\system32\mdm.exe
c:\windows\system32\TDSShrsr.dll
c:\windows\system32\TDSSkkdu.log
c:\windows\system32\TDSSlxwp.dll
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSoiqh.dll
c:\windows\system32\TDSSorvd.dat
c:\windows\system32\TDSSrhyp.log
c:\windows\system32\TDSSriqp.dll
c:\windows\system32\TDSSsihc.dll
c:\windows\system32\TDSSxfum.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSserv.sys
-------\Legacy_TDSSserv.sys


((((((((((((((((((((((( Dateien erstellt von 2008-12-05 bis 2009-01-05 ))))))))))))))))))))))))))))))
.

2009-01-05 16:08 . 2009-01-05 16:08 <DIR> d-------- c:\dokumente und einstellungen\Titz\Anwendungsdaten\Malwarebytes
2009-01-05 15:17 . 2009-01-05 15:17 <DIR> d--hs---- C:\found.000
2009-01-05 14:57 . 2009-01-05 14:57 <DIR> d---s---- c:\windows\system32\config\systemprofile\Anwendungsdaten
2009-01-05 14:47 . 2009-01-05 14:47 <DIR> d-------- c:\dokumente und einstellungen\Titz\Anwendungsdaten\Thunderbird
2009-01-05 14:40 . 2009-01-05 14:40 <DIR> d---s---- c:\windows\system32\Microsoft
2009-01-05 14:40 . 2009-01-05 14:40 <DIR> d-------- c:\windows\system32\config\systemprofile\Lokale Einstellungen
2009-01-05 14:40 . 2009-01-05 14:40 <DIR> d-------- c:\dokumente und einstellungen\Titz\Startmenü
2009-01-05 14:40 . 2009-01-05 16:27 <DIR> d--h----- c:\dokumente und einstellungen\Titz\Lokale Einstellungen
2009-01-05 14:40 . 2009-01-05 15:02 <DIR> dr------- c:\dokumente und einstellungen\Titz\Favoriten
2009-01-05 14:40 . 2009-01-05 14:40 <DIR> d-------- c:\dokumente und einstellungen\Titz\Anwendungsdaten\Spamihilator
2009-01-05 14:40 . 2009-01-05 16:08 <DIR> d-------- c:\dokumente und einstellungen\Titz\Anwendungsdaten
2009-01-05 13:20 . 2009-01-05 13:20 <DIR> d-------- c:\dokumente und einstellungen\Titz\recycle
2009-01-05 13:20 . 2009-01-05 16:27 <DIR> d--h----- c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen
2009-01-05 13:20 . 2009-01-05 16:27 <DIR> d--h----- c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen
2009-01-05 13:20 . 2009-01-05 13:20 <DIR> d-------- c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten
2009-01-05 13:20 . 2009-01-05 13:20 <DIR> d-------- c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten
2009-01-05 13:20 . 2009-01-05 13:20 <DIR> d--hs---- c:\dokumente und einstellungen\LocalService.NT-AUTORITÄT
2009-01-05 11:26 . 2009-01-05 11:26 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-05 11:26 . 2009-01-05 11:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-05 11:26 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-05 11:26 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-05 10:13 . 2008-09-02 12:48 19,512 --a------ c:\windows\system32\drivers\nvcw32mf.sys
2009-01-05 09:17 . 2009-01-05 09:26 4,507 --a------ c:\windows\imsins.BAK
2009-01-05 08:20 . 2009-01-05 08:28 <DIR> d-------- c:\programme\Security Task Manager
2009-01-05 08:20 . 2009-01-05 08:34 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2009-01-05 08:08 . 2009-01-05 08:08 748 --a------ C:\System Security.lnk
2009-01-05 08:00 . 2009-01-05 08:00 <DIR> dr------- c:\dokumente und einstellungen\NetworkService\Favoriten
2008-12-22 11:27 . 2008-12-22 11:27 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2008-12-22 10:51 . 2003-06-19 16:52 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2008-12-22 10:51 . 2003-06-19 17:39 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2008-12-22 10:51 . 2003-06-19 17:39 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2008-12-22 10:51 . 2009-01-05 16:27 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2008-12-22 10:51 . 2003-06-19 17:39 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2008-12-22 10:51 . 2003-06-19 17:39 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2008-12-22 10:51 . 2003-06-19 17:39 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2008-12-22 10:51 . 2008-12-22 11:27 <DIR> d-------- c:\dokumente und einstellungen\Administrator

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-05 09:19 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2009-01-05 07:31 --------- d-----w c:\programme\VeriSign
2009-01-05 06:39 --------- d-----w c:\programme\Google
2008-12-22 09:56 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-12-22 09:56 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:04 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-25 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="c:\windows\System32\\NeroCheck.exe" [2001-07-09 155648]
"Spamihilator"="c:\programme\Spamihilator\spamihilator.exe" [2007-08-17 716800]
"Norman ZANDA"="c:\norman\Npm\bin\ZLH.EXE" [2008-06-02 273520]
"SoundMan"="SOUNDMAN.EXE" [2002-09-11 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-04-29 65588]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /r \??\C:\0autocheck autochk *

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Spamihilator\\dccproc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R4 Ndiskio;Ndiskio;c:\norman\Nse\Bin\Ndiskio.sys [2009-01-05 20448]
S3 nsesvc;Norman Scanner Engine Service;c:\norman\Nse\Bin\Nsesvc.exe [2009-01-05 322616]
S3 NvcMFlt;NvcMFlt;c:\windows\system32\drivers\nvcw32mf.sys [2009-01-05 19512]
S3 nvcoas;Norman Virus Control on-access component;c:\norman\NVC\BIN\Nvcoas.exe [2009-01-05 183352]
S3 NVCScheduler;Norman Virus Control Scheduler;c:\norman\NVC\BIN\Nvcsched.exe [2009-01-05 146488]
.
Inhalt des "geplante Tasks" Ordners

2008-12-22 c:\windows\Tasks\At1.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At10.job
- c:\windows\system32\shLlryXF.exe []

2008-12-29 c:\windows\Tasks\At11.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At12.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At13.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At14.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At15.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At16.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At17.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At18.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At19.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At2.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At20.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At21.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At22.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At23.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At24.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At25.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At26.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At27.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At28.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At29.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At3.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At30.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At31.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At32.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At33.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At34.job
- c:\windows\system32\shLlryXF.exe []

2008-12-29 c:\windows\Tasks\At35.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At36.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At37.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At38.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At39.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At4.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At40.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At41.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At42.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At43.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At44.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At45.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At46.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At47.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At48.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At49.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At5.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At50.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At51.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At52.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At53.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At54.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At55.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At56.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At57.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At58.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At59.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At6.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At60.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At61.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At63.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At66.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At68.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At69.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At7.job
- c:\windows\system32\shLlryXF.exe []

2008-12-22 c:\windows\Tasks\At8.job
- c:\windows\system32\shLlryXF.exe []

2009-01-05 c:\windows\Tasks\At9.job
- c:\windows\system32\shLlryXF.exe []
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://de.yahoo.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-05 16:28:02
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\dokume~1\Titz\LOKALE~1\Temp\Perflib_Perfdata_6e8.dat 16384 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
Zeit der Fertigstellung: 2009-01-05 16:29:11
ComboFix-quarantined-files.txt 2009-01-05 15:28:54

Vor Suchlauf: 10 Verzeichnis(se), 20,944,797,696 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 21,025,067,008 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

277 --- E O F --- 2009-01-05 09:03:07



--------------------------------------------------------------------------

HiJackThis
----------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:44:55, on 06.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norman\Npm\Bin\Elogsvc.exe
C:\Programme\Norman\Npm\Bin\Zanda.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Norman\Npm\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Norman\Npm\bin\NJEEVES.EXE
C:\Programme\Norman\nse\bin\NSESVC.EXE
C:\Programme\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Programme\Norman\Nvc\bin\nvcoas.exe
C:\Programme\Norman\Nvc\BIN\NIP.EXE
C:\Programme\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKLM\..\Run: [Norman ZANDA] "C:\Programme\Norman\Npm\bin\ZLH.EXE" /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Programme\Norman\Npm\Bin\Elogsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Norman NJeeves - Norman ASA - C:\Programme\Norman\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\Programme\Norman\Npm\Bin\Zanda.exe
O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Programme\Norman\nse\bin\NSESVC.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Programme\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Programme\Norman\Nvc\BIN\NVCSCHED.EXE
O24 - Desktop Component 0: (no name) - http://www.silvrettanova.com/daten/SNova_Wolken_1024x768.jpg

--
End of file - 4215 bytes



---------------------------------------------------------------------------

Uninstall Liste
-------------

Adobe Flash Player 10 ActiveX
Adobe Reader 7.1.0 - Deutsch
Adobe Shockwave Player
Autodesk DWF Viewer
Avance AC'97 Audio
EasyScan 3.0
Enable S3 for USB Device
Google Earth
Google Toolbar for Internet Explorer
HijackThis 2.0.2
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows XP (KB952287)
Malwarebytes' Anti-Malware
Microsoft Data Access Components KB870669
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office 2000 Premium
Microsoft Office PowerPoint Viewer 2003
Mozilla Thunderbird
Nero - Burning Rom
Norman Virus Control
Norton Security Scan
REINER SCT timeCard
Security Task Manager 1.7g
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 9 (KB911565)
Sicherheitsupdate für Windows Media Player 9 (KB917734)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Spamihilator
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Visual C++ CRT 8.0
Volo View Express
Windows XP Service Pack 3

MfG Florian
Seitenanfang Seitenende
06.01.2009, 08:52
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Entferne C:\System Security.lnk

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als del.bat mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

@ECHO OFF
IF EXIST log.txt DEL log.txt
ECHO Deleting files>>log.txt
FOR %%g in (
C:\WINDOWS\Tasks\At*.job) DO (
IF EXIST %%g (
ATTRIB -r -s -h %%g
DEL %%g
IF EXIST %%g (
ECHO %%g not deleted>>log.txt
) ELSE (
ECHO %%g deleted successfully>>log.txt)
) ELSE (
ECHO %%g not found>>log.txt))
START NOTEPAD.EXE log.txt
DEL %0
Doppelklick del.bat und poste den Inhalt vom Log

Start > Ausführen> Kopiere rein ComboFix /U OK

Mach noch ein "Vollständiger Suchlauf“ mit MBAM
__________
MfG Argus
Seitenanfang Seitenende
06.01.2009, 09:10
Member

Themenstarter

Beiträge: 18
#3 Wie immer erstmal vielen Dank für die schnelle Hilfe, es folgt die log-Datei und anschließend noch 2 Fragen.

del.bat
--------

Deleting files
C:\WINDOWS\Tasks\At1.job deleted successfully
C:\WINDOWS\Tasks\At10.job deleted successfully
C:\WINDOWS\Tasks\At11.job deleted successfully
C:\WINDOWS\Tasks\At12.job deleted successfully
C:\WINDOWS\Tasks\At13.job deleted successfully
C:\WINDOWS\Tasks\At14.job deleted successfully
C:\WINDOWS\Tasks\At15.job deleted successfully
C:\WINDOWS\Tasks\At16.job deleted successfully
C:\WINDOWS\Tasks\At17.job deleted successfully
C:\WINDOWS\Tasks\At18.job deleted successfully
C:\WINDOWS\Tasks\At19.job deleted successfully
C:\WINDOWS\Tasks\At2.job deleted successfully
C:\WINDOWS\Tasks\At20.job deleted successfully
C:\WINDOWS\Tasks\At21.job deleted successfully
C:\WINDOWS\Tasks\At22.job deleted successfully
C:\WINDOWS\Tasks\At23.job deleted successfully
C:\WINDOWS\Tasks\At24.job deleted successfully
C:\WINDOWS\Tasks\At25.job deleted successfully
C:\WINDOWS\Tasks\At26.job deleted successfully
C:\WINDOWS\Tasks\At27.job deleted successfully
C:\WINDOWS\Tasks\At28.job deleted successfully
C:\WINDOWS\Tasks\At29.job deleted successfully
C:\WINDOWS\Tasks\At3.job deleted successfully
C:\WINDOWS\Tasks\At30.job deleted successfully
C:\WINDOWS\Tasks\At31.job deleted successfully
C:\WINDOWS\Tasks\At32.job deleted successfully
C:\WINDOWS\Tasks\At33.job deleted successfully
C:\WINDOWS\Tasks\At34.job deleted successfully
C:\WINDOWS\Tasks\At35.job deleted successfully
C:\WINDOWS\Tasks\At36.job deleted successfully
C:\WINDOWS\Tasks\At37.job deleted successfully
C:\WINDOWS\Tasks\At38.job deleted successfully
C:\WINDOWS\Tasks\At39.job deleted successfully
C:\WINDOWS\Tasks\At4.job deleted successfully
C:\WINDOWS\Tasks\At40.job deleted successfully
C:\WINDOWS\Tasks\At41.job deleted successfully
C:\WINDOWS\Tasks\At42.job deleted successfully
C:\WINDOWS\Tasks\At43.job deleted successfully
C:\WINDOWS\Tasks\At44.job deleted successfully
C:\WINDOWS\Tasks\At45.job deleted successfully
C:\WINDOWS\Tasks\At46.job deleted successfully
C:\WINDOWS\Tasks\At47.job deleted successfully
C:\WINDOWS\Tasks\At48.job deleted successfully
C:\WINDOWS\Tasks\At49.job deleted successfully
C:\WINDOWS\Tasks\At5.job deleted successfully
C:\WINDOWS\Tasks\At50.job deleted successfully
C:\WINDOWS\Tasks\At51.job deleted successfully
C:\WINDOWS\Tasks\At52.job deleted successfully
C:\WINDOWS\Tasks\At53.job deleted successfully
C:\WINDOWS\Tasks\At54.job deleted successfully
C:\WINDOWS\Tasks\At55.job deleted successfully
C:\WINDOWS\Tasks\At56.job deleted successfully
C:\WINDOWS\Tasks\At57.job deleted successfully
C:\WINDOWS\Tasks\At58.job deleted successfully
C:\WINDOWS\Tasks\At59.job deleted successfully
C:\WINDOWS\Tasks\At6.job deleted successfully
C:\WINDOWS\Tasks\At60.job deleted successfully
C:\WINDOWS\Tasks\At61.job deleted successfully
C:\WINDOWS\Tasks\At63.job deleted successfully
C:\WINDOWS\Tasks\At66.job deleted successfully
C:\WINDOWS\Tasks\At68.job deleted successfully
C:\WINDOWS\Tasks\At69.job deleted successfully
C:\WINDOWS\Tasks\At7.job deleted successfully
C:\WINDOWS\Tasks\At8.job deleted successfully
C:\WINDOWS\Tasks\At9.job deleted successfully



-------------------------------------------------------------------------

2 Fragen hab ich da noch:

Beim Deinstallieren von combofix hat Norman Virus Cleaner eben eine Datei rehide.reg in die Quarantäne verschoben und als Trojaner deklariert. Ist das normal?
Und wegen des vollständigen Scans mit mbam hab ich so ein bißchen Angst, weil ich das gestern zuerst gemacht hatte und sich der Rechner dabei komplett aufgehängt hat (mit Bluescreen und da war das Benutzerprofil zerschossen und ich musste über die Wiederherstellungskonsole wieder von vorne beginnen, s.o.). Danach waren übrigens wieder alle Viren, Trojaner etc. wie anfangs drauf (also gestern). Aber liegt das daran, dass durch die Wiederherstellungskonsole ein früherer Zeitpunkt definitiv erstellt wird?
Naja, wie gesagt, hab ich so ein wenig Bedenken, dass der Rechner da wieder schlapp macht und die liebe Mühe umsonst war. Was meinst Du?

MfG Florian
Seitenanfang Seitenende
06.01.2009, 09:20
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Du hast noch glück das bei dir MBAM überhaupt noch lauft,bei mir lauft MBAM gar nicht mehr (Rechner Startet stets neu) ;)

Mache anders ein scan mit
SDFix für Windows 2000 und Windows XP
Download link 1 SDFix zum Desktop
Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte

Und entferne noch via Software: Norton Security Scan
__________
MfG Argus
Seitenanfang Seitenende
06.01.2009, 10:04
Member

Themenstarter

Beiträge: 18
#5 Okay super,

ich sage schon mal vielen Dank und wünsche noch eine schöne Woche.

MfG Florian

Logfile del.bat
-------------



SDFix: Version 1.240
Run by Titz on 06.01.2009 at 09:42

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-06 09:45:22
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Spamihilator\\cdcc.exe"="C:\\Programme\\Spamihilator\\cdcc.exe:*:Enabled:Spamihilator DCC Filter Configuration"
"C:\\Programme\\Spamihilator\\dccproc.exe"="C:\\Programme\\Spamihilator\\dccproc.exe:*:Enabled:Spamihilator DCC Filter"
"C:\\Programme\\Spamihilator\\spamihilator.exe"="C:\\Programme\\Spamihilator\\spamihilator.exe:*:Enabled:Spamihilator"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Mon 20 Oct 2003 73,688 ..SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\Setup.exe"
Thu 5 Feb 2004 18,432 A.SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\_Setup.dll"
Thu 5 Feb 2004 5,120 A.SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\_Setupx.dll"

Finished!
Seitenanfang Seitenende
06.01.2009, 10:21
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Man kann SDFix wieder entfernen oder auch behalten,denn in normal Modus hat er noch 4 Scanner ;)
Nur den AVP(Kaspersky) tool sollte mann nicht benutzen in normal fall
__________
MfG Argus
Seitenanfang Seitenende