Trojaner TR/Murdak.A.55 gefunden,

#0
26.01.2009, 20:49
Member

Beiträge: 131
#1 Hallo,

ich hab gestern mit Antivir dei Trojaner TR/Murdak.A.36 und TR/Murdak.A.55 bei mir gefunden und in Quarantäne verschoben.

könnte sich jemand mal das Combofix Log anschauen, ich glaube nämlich, igendwas hackt hier noch.

ComboFix 09-01-21.04 - willy 2009-01-25 23:15:13.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.510.281 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\willy\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-12-25 bis 2009-01-25 ))))))))))))))))))))))))))))))
.

2009-01-25 19:55 . 2009-01-25 19:55 32 --a------ c:\windows\system32\thxcfg.ini
2009-01-03 12:49 . 2008-04-13 19:46 10,880 --a------ c:\windows\system32\drivers\NdisIP.sys
2009-01-03 12:49 . 2008-04-13 19:46 10,880 --a--c--- c:\windows\system32\dllcache\ndisip.sys
2009-01-03 12:49 . 2008-04-13 19:39 5,504 --a------ c:\windows\system32\drivers\MSTEE.sys
2009-01-03 12:49 . 2008-04-13 19:39 5,504 --a--c--- c:\windows\system32\dllcache\mstee.sys
2009-01-03 12:48 . 2008-04-13 19:46 85,248 --a------ c:\windows\system32\drivers\NABTSFEC.sys
2009-01-03 12:48 . 2008-04-13 19:46 85,248 --a--c--- c:\windows\system32\dllcache\nabtsfec.sys
2009-01-03 12:48 . 2008-04-13 19:46 19,200 --a------ c:\windows\system32\drivers\WSTCODEC.SYS
2009-01-03 12:48 . 2008-04-13 19:46 19,200 --a--c--- c:\windows\system32\dllcache\wstcodec.sys
2009-01-03 12:48 . 2008-04-13 19:46 17,024 --a------ c:\windows\system32\drivers\CCDECODE.sys
2009-01-03 12:48 . 2008-04-13 19:46 17,024 --a--c--- c:\windows\system32\dllcache\ccdecode.sys
2009-01-03 12:48 . 2008-04-14 03:23 16,384 --a------ c:\windows\system32\ipsink.ax
2009-01-03 12:48 . 2008-04-14 03:23 16,384 --a--c--- c:\windows\system32\dllcache\ipsink.ax
2009-01-03 12:48 . 2008-04-13 19:46 15,232 --a------ c:\windows\system32\drivers\StreamIP.sys
2009-01-03 12:48 . 2008-04-13 19:46 15,232 --a--c--- c:\windows\system32\dllcache\streamip.sys
2009-01-03 12:48 . 2008-04-13 19:46 11,136 --a------ c:\windows\system32\drivers\SLIP.sys
2009-01-03 12:48 . 2008-04-13 19:46 11,136 --a--c--- c:\windows\system32\dllcache\slip.sys
2009-01-03 12:47 . 2008-04-14 03:23 91,648 --a------ c:\windows\system32\kswdmcap.ax
2009-01-03 12:47 . 2008-04-14 03:23 91,648 --a--c--- c:\windows\system32\dllcache\kswdmcap.ax
2009-01-03 12:47 . 2008-04-14 03:23 61,952 --a------ c:\windows\system32\kstvtune.ax
2009-01-03 12:47 . 2008-04-14 03:23 61,952 --a--c--- c:\windows\system32\dllcache\kstvtune.ax
2009-01-03 12:47 . 2008-04-14 03:22 54,272 --a------ c:\windows\system32\vfwwdm32.dll
2009-01-03 12:47 . 2008-04-14 03:22 54,272 --a--c--- c:\windows\system32\dllcache\vfwwdm32.dll
2009-01-03 12:47 . 2008-04-14 03:23 43,008 --a------ c:\windows\system32\ksxbar.ax
2009-01-03 12:47 . 2008-04-14 03:23 43,008 --a--c--- c:\windows\system32\dllcache\ksxbar.ax
2009-01-03 12:45 . 2004-08-09 17:43 94,208 --a------ c:\windows\amcap.exe
2009-01-02 17:03 . 2009-01-02 17:03 <DIR> d-------- c:\programme\Avira
2009-01-02 17:03 . 2009-01-02 17:03 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-31 11:00 . 2008-12-31 11:01 120 --a------ c:\windows\magix.ini
2008-12-27 18:20 . 2008-12-27 18:20 <DIR> d-------- c:\programme\Soulseek-Test

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-25 18:56 --------- d-----w c:\programme\TrojanHunter 5.0
2009-01-24 15:44 --------- d-----w c:\programme\DivX
2009-01-24 15:27 --------- d-----w c:\dokumente und einstellungen\willy\Anwendungsdaten\dvdcss
2009-01-22 09:40 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-19 11:07 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-01-15 14:52 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-01-14 15:11 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-14 15:11 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-01-03 11:45 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-23 19:40 --------- d-----w c:\programme\Free FLV Converter
2008-12-23 13:43 --------- d-----w c:\programme\Dealio
2008-12-23 00:13 --------- d-----w c:\programme\Search Settings
2008-12-22 15:34 --------- d-----w c:\programme\Windows Media Connect 2
2008-12-22 15:08 --------- d-----w c:\dokumente und einstellungen\willy\Anwendungsdaten\vlc
2008-12-22 15:01 --------- d-----w c:\dokumente und einstellungen\willy\Anwendungsdaten\TrojanHunter
2008-12-22 15:00 --------- d-----w c:\programme\Secunia
2008-12-22 14:13 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-22 14:13 --------- d-----w c:\programme\Java
2008-12-21 23:30 --------- d-----w c:\dokumente und einstellungen\willy\Anwendungsdaten\Malwarebytes
2008-12-21 23:30 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-21 21:45 274,432 ----a-w c:\windows\system32\TubeFinder.exe
2008-12-20 15:53 --------- d-----w c:\programme\Trend Micro
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-11 00:33 86,016 ----a-w c:\windows\system32\dpl100.dll
2008-12-11 00:33 200,704 ----a-w c:\windows\system32\dtu100.dll
2008-12-10 14:17 7,808 ----a-w c:\windows\system32\drivers\psi_mf.sys
2008-12-09 14:57 --------- d-----w c:\dokumente und einstellungen\willy\Anwendungsdaten\DivX
2008-12-09 02:28 593,920 ----a-w c:\windows\system32\dpuGUI11.dll
2008-12-09 02:28 57,344 ----a-w c:\windows\system32\dpv11.dll
2008-12-09 02:28 344,064 ----a-w c:\windows\system32\dpus11.dll
2008-12-09 02:28 294,912 ----a-w c:\windows\system32\dpu11.dll
2008-11-06 16:37 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-11-06 16:37 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-11-06 16:35 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-11-06 16:35 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-11-06 16:33 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
2008-11-06 16:33 823,296 ----a-w c:\windows\system32\divx_xx07.dll
2008-11-06 16:33 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
2008-11-06 16:33 802,816 ----a-w c:\windows\system32\divx_xx11.dll
2008-11-06 16:33 684,032 ----a-w c:\windows\system32\DivX.dll
2008-11-06 16:33 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
.

------- Sigcheck -------

2004-08-04 08:58 111616 032ca12162e89e545356525554ea12a7 c:\windows\$NtServicePackUninstall$\wuauclt.exe
2008-04-14 03:23 111616 65e60c18ddb0215c201ff75e32d564c8 c:\windows\ServicePackFiles\i386\wuauclt.exe
2004-08-04 08:58 111616 032ca12162e89e545356525554ea12a7 c:\windows\SoftwareDistribution\Download\eac129044bb68298c81589f4b51d4c64\backup\wuauclt.exe
2008-10-16 14:09 51224 e654b78d2f1d791b30d0ed9a8195ec22 c:\windows\system32\wuauclt.exe
2008-10-16 14:09 51224 e654b78d2f1d791b30d0ed9a8195ec22 c:\windows\system32\dllcache\wuauclt.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-25 5898240]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-07-25 86016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-22 136600]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"nwiz"="nwiz.exe" [2006-07-25 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\willy\Startmen\Programme\Autostart\
Secunia PSI.lnk - c:\programme\Secunia\PSI\psi.exe [2008-12-17 748840]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
InterVideo WinCinema Manager.lnk.disabled [2008-12-19 1188]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

S3 PciCon;PciCon;\??\j:\pcicon.sys --> j:\PciCon.sys [?]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [2008-12-10 7808]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\willy\Anwendungsdaten\Mozilla\Firefox\Profiles\c9cjgj61.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-25 23:16:11
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-01-25 23:17:30
ComboFix-quarantined-files.txt 2009-01-25 22:17:28
ComboFix2.txt 2008-12-21 22:55:51

Vor Suchlauf: 13 Verzeichnis(se), 10.029.477.888 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 10,035,179,520 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

145 --- E O F --- 2009-01-14 08:49:47


Ausserdem, was ind das für Trojaner? bei antivir waren sie nicht in der liste und auch sonst war im netz nicht viel darüber zu lesen.

liebe grüsse,
konfusius
Seitenanfang Seitenende
26.01.2009, 22:17
Moderator

Beiträge: 5694
#2 Es wäre noch interessant zu wissen in welcher Datei dieser Troj gefunden wurde.Tönt nach false Positive. Zudem siehe hier:
http://forum.avira.com/wbb/index.php?page=Thread&threadID=82236

Gruss Swiss
Seitenanfang Seitenende
27.01.2009, 09:24
Member

Themenstarter

Beiträge: 131
#3 hm, gefunden wurde er in C.\system volume information restore {........... a000217.exe oder so ähnlich.

also in einer backup datei von der systemwiederherstellung, nehm ich an.

ich muss also wohl die wiederherstellungspunkte löschen, richtig? wie macht man das jetzt nochmal?
Seitenanfang Seitenende
27.01.2009, 13:37
Moderator

Beiträge: 5694
#4 >>
Wende Cclener an.

>>
Systemwiederherstellung deaktivieren (XP):
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

PC Neustarten, dann das Häkchen wieder rausnehmen. (also wieder aktivieren)

>>
mache einen Onlinescan mit eset + poste den report
http://virus-protect.org/artikel/tools/eset-nod.html

Gruss Swiss
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: