Datei C:\WINDOWS\new_drv.sys' Antivir-VirusmeldungThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
21.05.2009, 21:16
Member
Beiträge: 108 |
||
|
||
21.05.2009, 21:36
Moderator
Beiträge: 7805 |
#2
Hallo Madn,
arbeite bitrte die Punkte 2-4 aus http://board.protecus.de/t23188.htm ab und poste die Reporte. Die Malware wird derzeit nicht gut von av Programmen erkannt __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.05.2009, 21:45
Member
Themenstarter Beiträge: 108 |
#3
ComboFix 09-05-20.A1 - Roitzheim 21.05.2009 21:30.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.93 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Roitzheim\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\wiaserva.log c:\windows\9129837.exe c:\windows\AppPatch\Custom\{deb7008b-681e-4a4a-8aae-cc833e8216ce}.sdb c:\windows\system32\config\systemprofile\Anwendungsdaten\Macromedia\Common\e3b900461.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF -------\Service_new_drv ((((((((((((((((((((((( Dateien erstellt von 2009-04-21 bis 2009-05-21 )))))))))))))))))))))))))))))) . 2009-05-21 12:23 . 2009-05-21 17:22 -------- d-----w c:\dokumente und einstellungen\Roitzheim\dwhelper 2009-05-21 12:06 . 2009-05-21 12:07 -------- d-----w c:\programme\Sector69 2009-05-08 22:27 . 2001-08-18 02:53 8192 ----a-w c:\windows\system32\kbdkor.dll 2009-05-08 22:27 . 2001-08-18 02:53 8192 -c--a-w c:\windows\system32\dllcache\kbdkor.dll 2009-05-08 22:27 . 2001-08-18 02:53 8704 ----a-w c:\windows\system32\kbdjpn.dll 2009-05-08 22:27 . 2001-08-18 02:53 8704 -c--a-w c:\windows\system32\dllcache\kbdjpn.dll 2009-05-08 22:27 . 2001-08-17 12:55 5632 ----a-w c:\windows\system32\kbd103.dll 2009-05-08 22:27 . 2001-08-17 12:55 5632 -c--a-w c:\windows\system32\dllcache\kbd103.dll 2009-05-08 22:27 . 2001-08-17 12:55 6144 ----a-w c:\windows\system32\kbd101c.dll 2009-05-08 22:27 . 2001-08-17 12:55 6144 -c--a-w c:\windows\system32\dllcache\kbd101c.dll 2009-05-08 22:27 . 2001-08-17 12:55 6144 ----a-w c:\windows\system32\kbd101b.dll 2009-05-08 22:27 . 2001-08-17 12:55 6144 -c--a-w c:\windows\system32\dllcache\kbd101b.dll 2009-05-08 22:27 . 2008-04-14 02:20 6144 ----a-w c:\windows\system32\kbd106.dll 2009-05-08 22:27 . 2008-04-14 02:20 6144 -c--a-w c:\windows\system32\dllcache\kbd106.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-21 19:37 . 2005-01-27 08:31 17408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS 2009-05-21 11:21 . 2007-01-20 13:41 -------- d-----w c:\programme\Mozilla Thunderbird 2009-05-21 01:18 . 2005-04-02 13:42 50126 ----a-w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\wklnhst.dat 2009-05-20 09:15 . 2006-02-14 19:29 -------- d-----w c:\programme\Lx_cats 2009-05-08 21:52 . 2005-10-31 20:36 -------- d-----w c:\programme\WinAce 2009-04-15 12:20 . 2005-01-27 03:59 65538 ----a-w c:\windows\system32\perfc007.dat 2009-04-15 12:20 . 2005-01-27 03:59 394678 ----a-w c:\windows\system32\perfh007.dat 2009-04-07 21:17 . 2006-01-05 12:57 116272 ----a-w c:\dokumente und einstellungen\Roitzheim\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-04-07 21:09 . 2005-01-27 06:46 -------- d--h--w c:\programme\InstallShield Installation Information 2009-04-07 21:09 . 2009-04-07 21:08 -------- d-----w c:\programme\Gemeinsame Dateien\Ulead Systems 2009-03-22 22:19 . 2009-03-22 22:19 -------- d-----w c:\programme\Unlocker 2009-03-17 10:52 . 2009-03-15 14:46 13282 ----a-w c:\windows\system32\mscomct2.dat 2009-03-17 10:52 . 2009-03-15 14:46 9115 ----a-w c:\windows\system32\ntrdectr.dat 2009-03-15 14:46 . 2009-03-15 14:46 32018 ----a-w c:\windows\system32\msrfcint.dat 2009-03-06 14:19 . 2004-08-04 12:00 286720 ----a-w c:\windows\system32\pdh.dll 2009-03-03 00:03 . 2004-08-04 12:00 826368 ----a-w c:\windows\system32\wininet.dll 2005-02-21 15:07 . 2005-02-21 15:07 56 --sha-r c:\windows\system32\41D12D28A0.sys 2005-02-06 13:08 . 2005-02-06 13:08 8 --sha-r c:\windows\system32\D5D86239B1.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A057A204-BACC-4D26-9F9D-3BEFCFBE6E86}] 2007-10-16 18:58 1923584 ----a-w c:\programme\photoposcomtbr\photoposcomtbr.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "PhonostarTimer"="c:\programme\phonostar\ps_timer.exe" [2008-07-14 126976] "ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-01-12 344064] "Keyboard Status"="c:\progra~1\Medion\KeyStat\KeyStat.exe" [2005-01-25 411648] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2005-02-21 118926] "snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-02-06 98304] "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-27 266497] "LXCFCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll" [2005-07-20 73728] "RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208] "LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-04-13 49152] "TalkAndWrite"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe" [2008-02-19 3042816] "Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 63712] "Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2007-08-02 95504] "Dit"="Dit.exe" - c:\windows\Dit.exe [2004-07-20 90112] "AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2005-03-04 88209] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Roitzheim\Startmen\Programme\Autostart\ Watch.lnk - c:\windows\twain_32\A4CIS600\WATCH.exe [2005-4-2 371200] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696] BlueSoleil.lnk - c:\programme\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-2-21 1048576] Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2002-12-19 65588] p6bersicht.lnk - c:\programme\phase6\phase6\WinStart\WinStart.exe [2003-10-9 40960] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "EnableProfileQuota"= 1 (0x1) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "d:\\Programme\\rise of Nations gold\\thrones.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= "c:\\Dokumente und Einstellungen\\Roitzheim\\temp\\TeamViewer\\Version4\\TeamViewer.exe"= "c:\\Programme\\BitTorrent\\bittorrent.exe"= "c:\\Dokumente und Einstellungen\\Roitzheim\\Desktop\\Alle LemmingballZ Versionen\\Lemmingball Z aktuelle Version mit Exe\\LemmingballZ aktuelle Version\\lbz3d\\tmp\\co_real.exe"= "c:\\Dokumente und Einstellungen\\Roitzheim\\Desktop\\Alle LemmingballZ Versionen\\Lemmingball Z Modversion mit Mods\\lemmingball Z 3D\\lemmingball Z 3D\\lbz3d\\tmp\\co_real.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "135:TCP"= 135:TCP:TCP Port 135 R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [02.02.2006 14:42 14848] R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [02.02.2006 14:42 40000] R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [27.06.2008 18:48 3026] R2 auwmac;Auerswald ISDN WAN Driver (Ver. %V_VERSION%);c:\windows\system32\drivers\auwmac.sys [02.04.2005 17:20 65587] R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [20.01.2007 15:49 61440] R2 Oscapi;Auerswald CAPI2.0 Treiber;c:\windows\system32\drivers\Oscapi20.sys [02.04.2005 17:20 164930] R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 19:19 13592] R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [14.02.2005 20:51 666368] R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [27.01.2005 08:37 1272000] R3 SFC4;SFC4;c:\windows\system32\drivers\SFC4.SYS [02.04.2005 15:26 41472] R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [27.01.2005 10:37 19928] S0 oldfhfg;oldfhfg;c:\windows\system32\drivers\sxpuuwi.sys --> c:\windows\system32\drivers\sxpuuwi.sys [?] S3 auusb;Auerswald USB Treiber;c:\windows\system32\drivers\auusb.sys [02.04.2005 17:18 200573] S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [27.01.2005 10:31 17408] S3 cdrmkaun;cdrmkaun;\??\c:\dokume~1\ROITZH~1\LOKALE~1\Temp\cdrmkaun.sys --> c:\dokume~1\ROITZH~1\LOKALE~1\Temp\cdrmkaun.sys [?] S3 FXDRV;FXDRV;\??\c:\dokumente und einstellungen\Roitzheim\Eigene Dateien\ICQ\329532205\ReceivedFiles\195597078 MichaelN\SuperUtility\Fxdrv.sys --> c:\dokumente und einstellungen\Roitzheim\Eigene Dateien\ICQ\329532205\ReceivedFiles\195597078 MichaelN\SuperUtility\Fxdrv.sys [?] S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [20.01.2007 15:49 17280] S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [20.01.2007 15:49 17152] S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [20.01.2007 15:49 17536] S3 tausb;Auerswald USB CAPI transport Treiber;c:\windows\system32\drivers\tausb.sys [02.04.2005 17:18 193421] . Inhalt des "geplante Tasks" Ordners 2009-05-21 c:\windows\Tasks\MP Scheduled Scan.job - c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 17:20] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.aol.de/ uInternet Settings,ProxyOverride = <local> IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.de/scan_de/scan8/oscan8.cab FF - ProfilePath - c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\Mozilla\Firefox\Profiles\t6aoxmrl.default\ FF - prefs.js: browser.search.selectedEngine - Wikipedia (de) FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava11.dll FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava12.dll FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava13.dll FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava14.dll FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava32.dll FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJPI150_01.dll FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPOJI610.dll FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-21 21:36 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... c:\windows\TEMP\TMP0000002B01F64AB2C08D95FD 524288 bytes executable Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*] "OODEFRAG08.00.00.01WORKSTATION"="17081B02B3D7422C39A094EE706F066F 368015C9A856E45AA84268C77324823CE03EBD45017580C421436A7901B627FBA E657FB9DC78624FB0E02F49C1D28DA8E384003C73E2131E1B30D06E7AC855A58A E7AE809CC6EB68EF6A796BA1E1B412FB675827FEBC9E127BECC74CFEBC9E127BE CC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BE CC74C8EDD5E5BE2F6E667C038D530D6EB3452A6171C11EC38DE3D8EDD5E5BE2F 6E667BBB1BD13294C725BBCE73CBFFB4B096EBD05A4622A8F13EBF7191341005B DE3868B82677D71751B5182401D30702E0EFB481B43EA36F5542789CDFB39215D E266244B452E96BFAFE41AD3E739A18A6FB86E805D4FCF1E211F66B7353958A0D 6F1BA417B7BCCD7FA38D242D0D8B3586AC0FCEFB8F1E7F27B772AA01242502B0 " . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(804) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(3332) c:\progra~1\WINDOW~2\wmpband.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll c:\programme\Home Cinema\PowerCinema\Kernel\TV\PCMRM2Splter.ax c:\programme\Home Cinema\PowerProducer\ppM2Splter.ax c:\programme\Gemeinsame Dateien\muvee Technologies\CyberLink\MuveeM2Splter.ax c:\programme\Gemeinsame Dateien\muvee Technologies\CyberLink\MuveeM1Splter.ax c:\programme\CyberLink\Shared Files\clm1splter.ax c:\programme\CyberLink\Shared Files\clm2splter.ax c:\programme\Home Cinema\PowerProducer\ppM1Splter.ax c:\programme\Home Cinema\PowerProducer\ppTLM1Splter.ax c:\programme\Home Cinema\PowerProducer\ppTLM2Splter.ax c:\programme\Home Cinema\PowerDirector\PDTLM2Splter.ax c:\programme\Home Cinema\PowerDirector\PDTLM1Splter.ax c:\programme\CyberLink\PowerDVD\NavFilter\CLDemuxer.ax c:\windows\system32\wmpasf.dll c:\windows\system32\DRMClien.DLL c:\windows\system32\DivXMedia.ax c:\programme\Gemeinsame Dateien\Ahead\DSFilter\NeVideo.ax c:\programme\Gemeinsame Dateien\Ahead\Lib\AdvrCntr.dll c:\programme\CyberLink\PowerDVD\NavFilter\clm4splt.ax c:\programme\Gemeinsame Dateien\Ahead\DSFilter\NeSplitter.ax c:\programme\Home Cinema\PowerCinema\Kernel\Movie\isomsplt.ax c:\progra~1\MICROS~4\Office10\MCPS.DLL . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ati2evxx.exe c:\windows\system32\scardsvr.exe c:\programme\AntiVir PersonalEdition Classic\sched.exe c:\programme\AntiVir PersonalEdition Classic\avguard.exe c:\programme\IVT Corporation\BlueSoleil\BTNtService.exe c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe c:\programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe c:\programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe c:\programme\CyberLink\Shared Files\RichVideo.exe c:\windows\system32\UAService7.exe c:\programme\Windows Media Player\wmpnetwk.exe c:\programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe c:\windows\system32\ati2evxx.exe c:\programme\Mozilla Firefox\firefox.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-05-21 21:43 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-05-21 19:43 ComboFix2.txt 2009-03-23 19:55 Vor Suchlauf: 23 Verzeichnis(se), 20.512.841.728 Bytes frei Nach Suchlauf: 22 Verzeichnis(se), 21.435.801.600 Bytes frei 552 --- E O F --- 2009-05-19 07:38 Hier nun den Combofixlog bin bereits dabei die Schritte abzuarbeiten nächster Schritt ist malwarebytes |
|
|
||
21.05.2009, 22:02
Moderator
Beiträge: 7805 |
#4
Mache bitte folgendes:
1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code http://board.protecus.de/t36969.htm 3. Speichere im Notepad als CFScript.txt auf dem Desktop. 4. Deaktivere den Guard Deines Antivirenprogramms. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt 7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup Dies mit Ok wegklicken und es öffnet sich Dein Browser. Folge den dort angegebenen Anweisungen. Poste den neu erstellten Combofix Report Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.05.2009, 22:25
Member
Themenstarter Beiträge: 108 |
#5
Malwarebytes
während des scanns sind jetzt drei weitere avira meldungen aufgetaucht In der Datei 'C:\System Volume Information\_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP46\A0005580.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Agent.26112' [trojan] gefunden. Ausgeführte Aktion: Datei löschen In der Datei 'C:\WINDOWS\system32\wbem\proquota.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Bredolab.G.3' [trojan] gefunden. Ausgeführte Aktion: Datei löschen und In der Datei 'C:\WINDOWS\system32\gkjhql.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Chipos.A' [trojan] gefunden. Ausgeführte Aktion: Datei löschen Hier das log Malwarebytes' Anti-Malware 1.36 Datenbank Version: 2163 Windows 5.1.2600 Service Pack 3 22.05.2009 00:30:29 mbam-log-2009-05-22 (00-30-29).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|) Durchsuchte Objekte: 315537 Laufzeit: 1 hour(s), 43 minute(s), 48 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Roitzheim\Desktop\avenger\avenger.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP46\A0005580.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wbem\proquota.exe (Trojan.Downloader) -> Quarantined and deleted successfully. Hier der combofix log, allerdings habe ich die schritte ab punkt 7 nicht machen können, weil sich kein popup geöffnet hat !? ComboFix 09-05-20.A1 - Roitzheim 22.05.2009 0:37.5 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.551 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Roitzheim\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Roitzheim\Desktop\CFScript.txt . ((((((((((((((((((((((( Dateien erstellt von 2009-04-21 bis 2009-05-21 )))))))))))))))))))))))))))))) . 2009-05-21 12:23 . 2009-05-21 17:22 -------- d-----w c:\dokumente und einstellungen\Roitzheim\dwhelper 2009-05-21 12:06 . 2009-05-21 12:07 -------- d-----w c:\programme\Sector69 2009-05-08 22:27 . 2001-08-18 02:53 8192 ----a-w c:\windows\system32\kbdkor.dll 2009-05-08 22:27 . 2001-08-18 02:53 8192 -c--a-w c:\windows\system32\dllcache\kbdkor.dll 2009-05-08 22:27 . 2001-08-18 02:53 8704 ----a-w c:\windows\system32\kbdjpn.dll 2009-05-08 22:27 . 2001-08-18 02:53 8704 -c--a-w c:\windows\system32\dllcache\kbdjpn.dll 2009-05-08 22:27 . 2001-08-17 12:55 5632 ----a-w c:\windows\system32\kbd103.dll 2009-05-08 22:27 . 2001-08-17 12:55 5632 -c--a-w c:\windows\system32\dllcache\kbd103.dll 2009-05-08 22:27 . 2001-08-17 12:55 6144 ----a-w c:\windows\system32\kbd101c.dll 2009-05-08 22:27 . 2001-08-17 12:55 6144 -c--a-w c:\windows\system32\dllcache\kbd101c.dll 2009-05-08 22:27 . 2001-08-17 12:55 6144 ----a-w c:\windows\system32\kbd101b.dll 2009-05-08 22:27 . 2001-08-17 12:55 6144 -c--a-w c:\windows\system32\dllcache\kbd101b.dll 2009-05-08 22:27 . 2008-04-14 02:20 6144 ----a-w c:\windows\system32\kbd106.dll 2009-05-08 22:27 . 2008-04-14 02:20 6144 -c--a-w c:\windows\system32\dllcache\kbd106.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-21 22:34 . 2005-01-27 08:31 17408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS 2009-05-21 19:49 . 2008-09-28 12:37 -------- d-----w c:\programme\Malwarebytes' Anti-Malware 2009-05-21 11:21 . 2007-01-20 13:41 -------- d-----w c:\programme\Mozilla Thunderbird 2009-05-21 01:18 . 2005-04-02 13:42 50126 ----a-w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\wklnhst.dat 2009-05-20 09:15 . 2006-02-14 19:29 -------- d-----w c:\programme\Lx_cats 2009-05-08 21:52 . 2005-10-31 20:36 -------- d-----w c:\programme\WinAce 2009-04-15 12:20 . 2005-01-27 03:59 65538 ----a-w c:\windows\system32\perfc007.dat 2009-04-15 12:20 . 2005-01-27 03:59 394678 ----a-w c:\windows\system32\perfh007.dat 2009-04-07 21:17 . 2006-01-05 12:57 116272 ----a-w c:\dokumente und einstellungen\Roitzheim\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-04-07 21:09 . 2005-01-27 06:46 -------- d--h--w c:\programme\InstallShield Installation Information 2009-04-07 21:09 . 2009-04-07 21:08 -------- d-----w c:\programme\Gemeinsame Dateien\Ulead Systems 2009-04-06 13:32 . 2008-09-28 12:37 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-06 13:32 . 2008-09-28 12:37 15504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-03-17 10:52 . 2009-03-15 14:46 13282 ----a-w c:\windows\system32\mscomct2.dat 2009-03-17 10:52 . 2009-03-15 14:46 9115 ----a-w c:\windows\system32\ntrdectr.dat 2009-03-15 14:46 . 2009-03-15 14:46 32018 ----a-w c:\windows\system32\msrfcint.dat 2009-03-06 14:19 . 2004-08-04 12:00 286720 ----a-w c:\windows\system32\pdh.dll 2009-03-03 00:03 . 2004-08-04 12:00 826368 ----a-w c:\windows\system32\wininet.dll 2005-02-21 15:07 . 2005-02-21 15:07 56 --sha-r c:\windows\system32\41D12D28A0.sys 2005-02-06 13:08 . 2005-02-06 13:08 8 --sha-r c:\windows\system32\D5D86239B1.sys . (((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ---- Directory of c:\dokumente und einstellungen\Roitzheim\dwhelper ---- ---- Directory of c:\programme\Sector69 ---- 2009-01-05 15:04 . 2009-01-05 15:04 602112 ----a-w c:\programme\Sector69\FLV CAP\Sector 69 Flv Cap.exe 2009-01-05 13:00 . 2009-01-05 13:00 1886800 ----a-w c:\programme\Sector69\req_backup\install_flash_player_10_active_x.exe 2008-12-15 14:28 . 2008-12-15 14:28 550560 ----a-w c:\programme\Sector69\req_backup\WinPcap_4_0_2.exe 2005-05-01 18:05 . 2005-05-01 18:05 61440 ----a-w c:\programme\Sector69\FLV CAP\VBPCAP.DLL 2004-08-04 08:56 . 2004-08-04 08:56 1392671 ----a-w c:\programme\Sector69\FLV CAP\msvbvm60.dll ((((((((((((((((((((((((((((( SnapShot@2009-05-21_19.37.18 ))))))))))))))))))))))))))))))))))))))))) . + 2009-05-21 19:49 . 2009-05-21 19:49 335872 c:\windows\Installer\{15803703-25FA-4C01-A062-3F4A59937E87}\ARPPRODUCTICON.exe - 2009-04-07 21:09 . 2009-04-07 21:09 335872 c:\windows\Installer\{15803703-25FA-4C01-A062-3F4A59937E87}\ARPPRODUCTICON.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A057A204-BACC-4D26-9F9D-3BEFCFBE6E86}] 2007-10-16 18:58 1923584 ----a-w c:\programme\photoposcomtbr\photoposcomtbr.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "PhonostarTimer"="c:\programme\phonostar\ps_timer.exe" [2008-07-14 126976] "ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-01-12 344064] "Keyboard Status"="c:\progra~1\Medion\KeyStat\KeyStat.exe" [2005-01-25 411648] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2005-02-21 118926] "snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-02-06 98304] "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-27 266497] "LXCFCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll" [2005-07-20 73728] "RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208] "LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-04-13 49152] "TalkAndWrite"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe" [2008-02-19 3042816] "Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 63712] "Ulead AutoDetector v2"="c:\programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2007-08-02 95504] "Dit"="Dit.exe" - c:\windows\Dit.exe [2004-07-20 90112] "AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2005-03-04 88209] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Roitzheim\Startmen\Programme\Autostart\ Watch.lnk - c:\windows\twain_32\A4CIS600\WATCH.exe [2005-4-2 371200] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696] BlueSoleil.lnk - c:\programme\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-2-21 1048576] Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2002-12-19 65588] p6bersicht.lnk - c:\programme\phase6\phase6\WinStart\WinStart.exe [2003-10-9 40960] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "EnableProfileQuota"= 1 (0x1) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "d:\\Programme\\rise of Nations gold\\thrones.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= "c:\\Dokumente und Einstellungen\\Roitzheim\\temp\\TeamViewer\\Version4\\TeamViewer.exe"= "c:\\Programme\\BitTorrent\\bittorrent.exe"= "c:\\Dokumente und Einstellungen\\Roitzheim\\Desktop\\Alle LemmingballZ Versionen\\Lemmingball Z aktuelle Version mit Exe\\LemmingballZ aktuelle Version\\lbz3d\\tmp\\co_real.exe"= "c:\\Dokumente und Einstellungen\\Roitzheim\\Desktop\\Alle LemmingballZ Versionen\\Lemmingball Z Modversion mit Mods\\lemmingball Z 3D\\lemmingball Z 3D\\lbz3d\\tmp\\co_real.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "135:TCP"= 135:TCP:TCP Port 135 R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [02.02.2006 14:42 14848] R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [02.02.2006 14:42 40000] R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [27.06.2008 18:48 3026] R2 auwmac;Auerswald ISDN WAN Driver (Ver. %V_VERSION%);c:\windows\system32\drivers\auwmac.sys [02.04.2005 17:20 65587] R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [20.01.2007 15:49 61440] R2 Oscapi;Auerswald CAPI2.0 Treiber;c:\windows\system32\drivers\Oscapi20.sys [02.04.2005 17:20 164930] R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 19:19 13592] R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [14.02.2005 20:51 666368] R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [27.01.2005 08:37 1272000] R3 SFC4;SFC4;c:\windows\system32\drivers\SFC4.SYS [02.04.2005 15:26 41472] R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [27.01.2005 10:37 19928] S0 oldfhfg;oldfhfg;c:\windows\system32\drivers\sxpuuwi.sys --> c:\windows\system32\drivers\sxpuuwi.sys [?] S3 auusb;Auerswald USB Treiber;c:\windows\system32\drivers\auusb.sys [02.04.2005 17:18 200573] S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [27.01.2005 10:31 17408] S3 cdrmkaun;cdrmkaun;\??\c:\dokume~1\ROITZH~1\LOKALE~1\Temp\cdrmkaun.sys --> c:\dokume~1\ROITZH~1\LOKALE~1\Temp\cdrmkaun.sys [?] S3 FXDRV;FXDRV;\??\c:\dokumente und einstellungen\Roitzheim\Eigene Dateien\ICQ\329532205\ReceivedFiles\195597078 MichaelN\SuperUtility\Fxdrv.sys --> c:\dokumente und einstellungen\Roitzheim\Eigene Dateien\ICQ\329532205\ReceivedFiles\195597078 MichaelN\SuperUtility\Fxdrv.sys [?] S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [20.01.2007 15:49 17280] S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [20.01.2007 15:49 17152] S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [20.01.2007 15:49 17536] S3 tausb;Auerswald USB CAPI transport Treiber;c:\windows\system32\drivers\tausb.sys [02.04.2005 17:18 193421] . Inhalt des "geplante Tasks" Ordners 2009-05-21 c:\windows\Tasks\MP Scheduled Scan.job - c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 17:20] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.aol.de/ uInternet Settings,ProxyOverride = <local> IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.de/scan_de/scan8/oscan8.cab FF - ProfilePath - c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\Mozilla\Firefox\Profiles\t6aoxmrl.default\ FF - prefs.js: browser.search.selectedEngine - Wikipedia (de) FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava11.dll FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava12.dll FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava13.dll FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava14.dll FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava32.dll FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJPI150_01.dll FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPOJI610.dll FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-22 00:39 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*] "OODEFRAG08.00.00.01WORKSTATION"="17081B02B3D7422C39A094EE706F066F 368015C9A856E45AA84268C77324823CE03EBD45017580C421436A7901B627FBA E657FB9DC78624FB0E02F49C1D28DA8E384003C73E2131E1B30D06E7AC855A58A E7AE809CC6EB68EF6A796BA1E1B412FB675827FEBC9E127BECC74CFEBC9E127BE CC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BE CC74C8EDD5E5BE2F6E667C038D530D6EB3452A6171C11EC38DE3D8EDD5E5BE2F 6E667BBB1BD13294C725BBCE73CBFFB4B096EBD05A4622A8F13EBF7191341005B DE3868B82677D71751B5182401D30702E0EFB481B43EA36F5542789CDFB39215D E266244B452E96BFAFE41AD3E739A18A6FB86E805D4FCF1E211F66B7353958A0D " . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(804) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(3992) c:\progra~1\WINDOW~2\wmpband.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2009-05-21 0:42 ComboFix-quarantined-files.txt 2009-05-21 22:41 ComboFix2.txt 2009-05-21 19:43 ComboFix3.txt 2009-03-23 19:55 Vor Suchlauf: 23 Verzeichnis(se), 21.426.376.704 Bytes frei Nach Suchlauf: 22 Verzeichnis(se), 21.421.666.304 Bytes frei 517 --- E O F --- 2009-05-19 07:38 Dieser Beitrag wurde am 22.05.2009 um 00:46 Uhr von Madn editiert.
|
|
|
||
22.05.2009, 05:34
Moderator
Beiträge: 7805 |
#6
UH, da war Antivir diesmal sogar an einem Feiertag schnell. Die Malware, die es nun noch gefunden hat, war derzeit nicht gestartet und ist ja nun auch geloescht.
Deinstalliere bitte combofix via combofix /u und aktualisiere deine Software wie den Adobe reader, Java usw. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.05.2009, 10:06
Member
Themenstarter Beiträge: 108 |
#7
nachdem ich combofix mit dem Befehl deinstalliert habe, kam vorher die Meldung "grpconv.exe" nicht gefunden, was heißt das nun.
Habe Java nun aktualisiert und Combofix erfolgreich entfernt. Der Rechner läuft wieder normal schnell, allerdings bin ich mir nicht sicher, ob nun wirklich alles frei ist. Was soll ich als nächstes machen? |
|
|
||
22.05.2009, 15:47
Moderator
Beiträge: 7805 |
#8
Noch ein kleiner Zusatz, da die Malware derzeit haeufiger vorkommt...
Die Malware hat dir die Systemdateien grpconv.exe und proquota.exe aus dem System32 Ordner geloscht und Malwaredateien mit selben Namen in system32\wbem erstellt. Das Problem ist nun natuerlich, das zwar die Malwaredateien geloescht sind, du aber noch die beiden Systemdateien auch verloren hast. Das Fehlen der Dateien sollte dir eigentlich garnicht auffallen, nur kann es konstellationen geben, indem du sie benoetigst. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.05.2009, 19:29
Member
Themenstarter Beiträge: 108 |
#9
ja und was mache ich jetzt?
Kann man die irgendwie ersetzen? |
|
|
||
22.05.2009, 19:31
Moderator
Beiträge: 7805 |
#10
Schau bitte einmal hier nach
http://board.protecus.de/t36968-2.htm#321243 __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.05.2009, 19:46
Member
Themenstarter Beiträge: 108 |
#11
LoL Raman, echt praktisch, wenn man zwei Topics gleichzeitig bearbeiten kann ^^
ich hab mir die Dateien runtergeladen, entpackt und ins windows/system32 eingefügt. Waren nicht mehr vorhanden, dank dir jetzt alles wieder richtig eingestellt? Und wodurch kann ich mir diese Malware eingefangen haben, die ja jetzt doch deutlich häufiger vorkommt, wenn schon zwei Themen gleichzeitig übers selbe Programm sind. |
|
|
||
22.05.2009, 19:53
Moderator
Beiträge: 7805 |
#12
Ich denke, das es durch eine Sicherheitsluecke beim Besuch einer Webseite auf den Rechner gekommen ist.
In der Beziehung ist Opera oder Firefox mit noscript Plugin recht sicher. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
22.05.2009, 21:45
Member
Themenstarter Beiträge: 108 |
#13
aber jetzt müsste wieder alles in Ordnung sein, danke für die Hilfe
Der Rechner läuft wieder richtig schnell. |
|
|
||
In der Datei 'C:\WINDOWS\new_drv.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Wenn ich den Pfad manuell nachgehe finde ich die Datei, jedoch verschwindet sie kurz darauf, wenn ich den Virusbericht beende.
Ich habe das Gefühl, dass der Rechner langsamer geworden ist, seitdem diese Meldung erscheint.
Ich hoffe, mir kann da jemand weiterhelfen.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:23:16, on 21.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\9129837.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CCleaner\CCleaner.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avwsc.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PhotoPos Pro Toolbar - {A057A204-BACC-4D26-9F9D-3BEFCFBE6E86} - C:\Programme\photoposcomtbr\photoposcomtbr.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: PhotoPos Pro Toolbar - {A057A204-BACC-4D26-9F9D-3BEFCFBE6E86} - C:\Programme\photoposcomtbr\photoposcomtbr.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [TalkAndWrite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: p6übersicht.lnk = C:\Programme\phase6\phase6\WinStart\WinStart.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136469868593
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: lxcf_device - - C:\WINDOWS\system32\lxcfcoms.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe (file missing)
--
End of file - 9889 bytes