Trojaner TR/Murdak.A.55 gefunden,

#1 Hallo,

ich hab gestern mit Antivir dei Trojaner TR/Murdak.A.36 und TR/Murdak.A.55 bei mir gefunden und in Quarantäne verschoben.

könnte sich jemand mal das Combofix Log anschauen, ich glaube nämlich, igendwas hackt hier noch.

ComboFix 09-01-21.04 - willy 2009-01-25 23:15:13.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.510.281 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\willy\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-12-25 bis 2009-01-25 ))))))))))))))))))))))))))))))
.

2009-01-25 19:55 . 2009-01-25 19:55 32 --a------ c:\windows\system32\thxcfg.ini
2009-01-03 12:49 . 2008-04-13 19:46 10,880 --a------ c:\windows\system32\drivers\NdisIP.sys
2009-01-03 12:49 . 2008-04-13 19:46 10,880 --a--c--- c:\windows\system32\dllcache\ndisip.sys
2009-01-03 12:49 . 2008-04-13 19:39 5,504 --a------ c:\windows\system32\drivers\MSTEE.sys
2009-01-03 12:49 . 2008-04-13 19:39 5,504 --a--c--- c:\windows\system32\dllcache\mstee.sys
2009-01-03 12:48 . 2008-04-13 19:46 85,248 --a------ c:\windows\system32\drivers\NABTSFEC.sys
2009-01-03 12:48 . 2008-04-13 19:46 85,248 --a--c--- c:\windows\system32\dllcache\nabtsfec.sys
2009-01-03 12:48 . 2008-04-13 19:46 19,200 --a------ c:\windows\system32\drivers\WSTCODEC.SYS
2009-01-03 12:48 . 2008-04-13 19:46 19,200 --a--c--- c:\windows\system32\dllcache\wstcodec.sys
2009-01-03 12:48 . 2008-04-13 19:46 17,024 --a------ c:\windows\system32\drivers\CCDECODE.sys
2009-01-03 12:48 . 2008-04-13 19:46 17,024 --a--c--- c:\windows\system32\dllcache\ccdecode.sys
2009-01-03 12:48 . 2008-04-14 03:23 16,384 --a------ c:\windows\system32\ipsink.ax
2009-01-03 12:48 . 2008-04-14 03:23 16,384 --a--c--- c:\windows\system32\dllcache\ipsink.ax
2009-01-03 12:48 . 2008-04-13 19:46 15,232 --a------ c:\windows\system32\drivers\StreamIP.sys
2009-01-03 12:48 . 2008-04-13 19:46 15,232 --a--c--- c:\windows\system32\dllcache\streamip.sys
2009-01-03 12:48 . 2008-04-13 19:46 11,136 --a------ c:\windows\system32\drivers\SLIP.sys
2009-01-03 12:48 . 2008-04-13 19:46 11,136 --a--c--- c:\windows\system32\dllcache\slip.sys
2009-01-03 12:47 . 2008-04-14 03:23 91,648 --a------ c:\windows\system32\kswdmcap.ax
2009-01-03 12:47 . 2008-04-14 03:23 91,648 --a--c--- c:\windows\system32\dllcache\kswdmcap.ax
2009-01-03 12:47 . 2008-04-14 03:23 61,952 --a------ c:\windows\system32\kstvtune.ax
2009-01-03 12:47 . 2008-04-14 03:23 61,952 --a--c--- c:\windows\system32\dllcache\kstvtune.ax
2009-01-03 12:47 . 2008-04-14 03:22 54,272 --a------ c:\windows\system32\vfwwdm32.dll
2009-01-03 12:47 . 2008-04-14 03:22 54,272 --a--c--- c:\windows\system32\dllcache\vfwwdm32.dll
2009-01-03 12:47 . 2008-04-14 03:23 43,008 --a------ c:\windows\system32\ksxbar.ax
2009-01-03 12:47 . 2008-04-14 03:23 43,008 --a--c--- c:\windows\system32\dllcache\ksxbar.ax
2009-01-03 12:45 . 2004-08-09 17:43 94,208 --a------ c:\windows\amcap.exe
2009-01-02 17:03 . 2009-01-02 17:03 <DIR> d-------- c:\programme\Avira
2009-01-02 17:03 . 2009-01-02 17:03 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-31 11:00 . 2008-12-31 11:01 120 --a------ c:\windows\magix.ini
2008-12-27 18:20 . 2008-12-27 18:20 <DIR> d-------- c:\programme\Soulseek-Test

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-25 18:56 --------- d-----w c:\programme\TrojanHunter 5.0
2009-01-24 15:44 --------- d-----w c:\programme\DivX
2009-01-24 15:27 --------- d-----w c:\dokumente und einstellungen\willy\Anwendungsdaten\dvdcss
2009-01-22 09:40 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-01-19 11:07 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-01-15 14:52 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-01-14 15:11 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-14 15:11 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-01-03 11:45 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-23 19:40 --------- d-----w c:\programme\Free FLV Converter
2008-12-23 13:43 --------- d-----w c:\programme\Dealio
2008-12-23 00:13 --------- d-----w c:\programme\Search Settings
2008-12-22 15:34 --------- d-----w c:\programme\Windows Media Connect 2
2008-12-22 15:08 --------- d-----w c:\dokumente und einstellungen\willy\Anwendungsdaten\vlc
2008-12-22 15:01 --------- d-----w c:\dokumente und einstellungen\willy\Anwendungsdaten\TrojanHunter
2008-12-22 15:00 --------- d-----w c:\programme\Secunia
2008-12-22 14:13 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-22 14:13 --------- d-----w c:\programme\Java
2008-12-21 23:30 --------- d-----w c:\dokumente und einstellungen\willy\Anwendungsdaten\Malwarebytes
2008-12-21 23:30 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-21 21:45 274,432 ----a-w c:\windows\system32\TubeFinder.exe
2008-12-20 15:53 --------- d-----w c:\programme\Trend Micro
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-11 00:33 86,016 ----a-w c:\windows\system32\dpl100.dll
2008-12-11 00:33 200,704 ----a-w c:\windows\system32\dtu100.dll
2008-12-10 14:17 7,808 ----a-w c:\windows\system32\drivers\psi_mf.sys
2008-12-09 14:57 --------- d-----w c:\dokumente und einstellungen\willy\Anwendungsdaten\DivX
2008-12-09 02:28 593,920 ----a-w c:\windows\system32\dpuGUI11.dll
2008-12-09 02:28 57,344 ----a-w c:\windows\system32\dpv11.dll
2008-12-09 02:28 344,064 ----a-w c:\windows\system32\dpus11.dll
2008-12-09 02:28 294,912 ----a-w c:\windows\system32\dpu11.dll
2008-11-06 16:37 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-11-06 16:37 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-11-06 16:35 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-11-06 16:35 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-11-06 16:33 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
2008-11-06 16:33 823,296 ----a-w c:\windows\system32\divx_xx07.dll
2008-11-06 16:33 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
2008-11-06 16:33 802,816 ----a-w c:\windows\system32\divx_xx11.dll
2008-11-06 16:33 684,032 ----a-w c:\windows\system32\DivX.dll
2008-11-06 16:33 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
.

------- Sigcheck -------

2004-08-04 08:58 111616 032ca12162e89e545356525554ea12a7 c:\windows\$NtServicePackUninstall$\wuauclt.exe
2008-04-14 03:23 111616 65e60c18ddb0215c201ff75e32d564c8 c:\windows\ServicePackFiles\i386\wuauclt.exe
2004-08-04 08:58 111616 032ca12162e89e545356525554ea12a7 c:\windows\SoftwareDistribution\Download\eac129044bb68298c81589f4b51d4c64\backup\wuauclt.exe
2008-10-16 14:09 51224 e654b78d2f1d791b30d0ed9a8195ec22 c:\windows\system32\wuauclt.exe
2008-10-16 14:09 51224 e654b78d2f1d791b30d0ed9a8195ec22 c:\windows\system32\dllcache\wuauclt.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-25 5898240]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-07-25 86016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-22 136600]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"nwiz"="nwiz.exe" [2006-07-25 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\willy\Startmen�\Programme\Autostart\
Secunia PSI.lnk - c:\programme\Secunia\PSI\psi.exe [2008-12-17 748840]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
InterVideo WinCinema Manager.lnk.disabled [2008-12-19 1188]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

S3 PciCon;PciCon;\??\j:\pcicon.sys --> j:\PciCon.sys [?]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [2008-12-10 7808]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\willy\Anwendungsdaten\Mozilla\Firefox\Profiles\c9cjgj61.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-25 23:16:11
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-01-25 23:17:30
ComboFix-quarantined-files.txt 2009-01-25 22:17:28
ComboFix2.txt 2008-12-21 22:55:51

Vor Suchlauf: 13 Verzeichnis(se), 10.029.477.888 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 10,035,179,520 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

145 --- E O F --- 2009-01-14 08:49:47


Ausserdem, was ind das für Trojaner? bei antivir waren sie nicht in der liste und auch sonst war im netz nicht viel darüber zu lesen.

liebe grüsse,
konfusius

#2 Es wäre noch interessant zu wissen in welcher Datei dieser Troj gefunden wurde.Tönt nach false Positive. Zudem siehe hier:
http://forum.avira.com/wbb/index.php?page=Thread&threadID=82236

Gruss Swiss

#3 hm, gefunden wurde er in C.\system volume information restore {........... a000217.exe oder so ähnlich.

also in einer backup datei von der systemwiederherstellung, nehm ich an.

ich muss also wohl die wiederherstellungspunkte löschen, richtig? wie macht man das jetzt nochmal?

#4 >>
Wende Cclener an.

>>
Systemwiederherstellung deaktivieren (XP):
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

PC Neustarten, dann das Häkchen wieder rausnehmen. (also wieder aktivieren)

>>
mache einen Onlinescan mit eset + poste den report
http://virus-protect.org/artikel/tools/eset-nod.html

Gruss Swiss