TR/Rootkit.gen in vewlytrr.sys

#0
25.03.2010, 15:51
...neu hier

Beiträge: 3
#1 Hallo,

Avira Professional findet bei mir unter C:\Windows\system32\drivers\vewlytrr.sys den TR/Rootkit.gen.

HJT kann nichts finden; ComboFix gibt folgendes aus, kann die Datei und die Reg-Einträge wohl auch
nicht entfernen:


ComboFix 10-03-24.03 - Administrator 25.03.2010 15:20:20.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2038.1480 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {B02B524A-0C22-45DD-A6D1-70C7010CE58E}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\\Anwendungsdaten\.#
c:\dokumente und einstellungen\\Anwendungsdaten\avdrn.dat
c:\windows\system32\tmp.reg

.
((((((((((((((((((((((( Dateien erstellt von 2010-02-25 bis 2010-03-25 ))))))))))))))))))))))))))))))
.

2010-03-25 12:52 . 2010-03-25 12:52 -------- d-----w- c:\programme\Sophos
2010-03-25 12:10 . 2010-03-25 12:30 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-03-25 12:01 . 2010-03-25 12:01 -------- d-----w- c:\programme\Trend Micro
2010-03-24 19:42 . 2010-03-24 19:42 -------- d-----w- c:\windows\system32\config\systemprofile\Anwendungsdaten\Avira
2010-03-24 14:23 . 2010-03-25 14:23 804864 ----a-w- c:\windows\system32\drivers\vewlytrr.sys
2010-03-21 13:38 . 2008-04-13 23:10 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-03-21 13:38 . 2008-04-13 23:10 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-03-21 13:38 . 2008-04-13 23:11 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-03-21 13:38 . 2008-04-13 23:11 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-03-21 13:38 . 2008-04-13 23:11 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-03-21 13:38 . 2008-04-13 23:11 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-02-25 07:58 . 2010-03-18 20:03 -------- d-----w- c:\dokumente und einstellungen\\Lokale Einstellungen\Anwendungsdaten\Temp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-25 14:07 . 2008-07-02 13:41 708608 ----a-w- c:\windows\system32\DCPPaid.exe
2010-03-25 12:30 . 2008-03-05 07:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-03-25 11:08 . 2008-11-16 12:41 -------- d-----w- c:\programme\Google
2010-03-25 10:58 . 2008-02-21 10:03 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-03-25 10:56 . 2008-02-21 14:50 -------- d-----w- c:\programme\QuickTime Alternative
2010-03-25 10:54 . 2009-09-24 13:10 -------- d-----w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks
2010-03-24 19:59 . 2008-12-31 13:18 -------- d-----w- c:\programme\PokerStars.NET
2010-03-24 17:47 . 2009-09-24 12:05 -------- d-----w- c:\dokumente und einstellungen\\Anwendungsdaten\XPhone30
2010-03-24 14:22 . 2010-03-24 14:22 8 ----a-w- c:\windows\system32\config\systemprofile\Anwendungsdaten\jasltw.dat
2010-03-21 13:38 . 2010-03-21 13:38 8 ----a-w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\jasltw.dat
2010-03-18 15:52 . 2008-08-06 13:44 -------- d-----w- c:\dokumente und einstellungen\\Anwendungsdaten\ZoomBrowser EX
2010-03-03 10:14 . 2009-09-24 13:10 36948 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Setup\uninstall.exe
2010-02-11 17:37 . 2008-02-21 14:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-01-31 21:00 . 2010-01-31 21:00 934960 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Host Checker\AVManagerUnified.dll
2010-01-31 21:00 . 2010-01-31 21:00 93232 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Host Checker\CAntiVirusCOM.dll
2010-01-31 21:00 . 2010-01-31 21:00 46640 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Host Checker\Impl_AntivirusLib.dll
2010-01-31 21:00 . 2010-01-31 21:00 37936 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Host Checker\OPSWATProcessesScanner.dll
2010-01-31 21:00 . 2010-01-31 21:00 34352 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Host Checker\CFireWallCOM.dll
2010-01-31 21:00 . 2010-01-31 21:00 297520 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Host Checker\OESISCore.dll
2010-01-31 21:00 . 2010-01-31 21:00 18992 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Host Checker\Impl_SoftwareProductLib.dll
2010-01-31 21:00 . 2010-01-31 21:00 176688 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Host Checker\FWManager.dll
2010-01-31 21:00 . 2010-01-31 21:00 14384 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Host Checker\Impl_FirewallLib.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATSwpNav"="c:\programme\Fingerprint Sensor\ATSwpNav -run" [X]
"LoadFUJ02E3"="c:\programme\Fujitsu\FUJ02E3\FUJ02E3.exe" [2006-11-17 80688]
"LoadFujitsuQuickTouch"="c:\programme\Fujitsu\Application Panel\QuickTouch.exe" [2006-11-25 260912]
"LoadBtnHnd"="c:\programme\Fujitsu\BtnHnd\BtnHnd.exe" [2007-02-06 68400]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-02-26 155648]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-02-26 131072]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-12 16125440]
"AGRSMMSG"="AGRSMMSG.exe" [2006-06-29 89541]
"LtMoh"="c:\programme\ltmoh\Ltmoh.exe" [2005-05-18 188416]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-06-09 794713]
"IndicatorUtility"="c:\programme\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe" [2006-04-20 90112]
"PSUtility"="c:\addon\Fujitsu\PSUtility\TrayManager.exe" [2006-07-05 118784]
"SSUtility"="c:\program files\Fujitsu\SSUtility\FJSSDMN.exe" [2006-07-22 233472]
"TvOutSwitch"="c:\addon\Fujitsu\DispSwitch\DispSwitchLauncher.exe" [2006-08-02 81920]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]
"iPCCheck"="c:\programme\T-Online\T-Online Internationaler Zugang\downloader\ipccheck.exe" [2004-06-08 282624]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2006-02-28 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2002-08-29 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2002-08-29 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-29 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-29 455168]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 144384]
"DCPPaid"="c:\windows\system32\DCPPaid.exe" [2010-03-25 708608]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-06-05 292136]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-12-23 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"T-Online_Software_6\WLAN-Access Finder"="c:\programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 671796]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Device Detector 3.lnk - c:\programme\Olympus\DeviceDetector\DevDtct2.exe [2008-10-20 118784]
InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2008-2-21 278528]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PSUTY]
2006-06-02 16:04 32768 ----a-w- c:\windows\system32\PSUWNP.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 dcpp2k;dcpp2k;c:\windows\system32\drivers\dcpp2k.sys [02.07.2008 14:40 770496]
R0 FJGSDisk;G-Sensor Application Filter Driver;c:\windows\system32\drivers\FJGSDisk.sys [21.02.2008 11:04 7168]
R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [21.02.2008 11:34 36640]
R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [21.02.2008 11:32 35456]
R0 smsw;smsw;c:\windows\system32\drivers\smsw.sys [21.02.2008 13:05 46512]
R2 AntiVir Security Management Center Agent;Avira Security Management Center Agent;c:\programme\Avira\Avira Security Management Center Agent\agent.exe [23.12.2009 13:00 753409]
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [23.12.2009 13:01 194817]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.12.2009 13:01 108289]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [23.12.2009 13:01 434945]
R2 cmTCS Service;cmTCS Service;c:\windows\system32\cmTCS.exe [21.02.2008 13:05 102400]
R2 DCPP2Svc;SecurStar DCPP 3.81+ Service;c:\programme\DriveCrypt Plus Pack\DCPP2Svc.exe [02.07.2008 14:40 150976]
R2 LogonUserService;Logon User Service;c:\windows\system32\logonuser.exe [21.02.2008 13:05 110651]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [21.02.2008 15:21 61440]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\windows\system32\drivers\fuj02e3.sys [21.02.2008 11:27 4864]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [27.06.2008 10:41 35968]
R3 SmartyLogService;SmartyLog Service;c:\windows\system32\SmartyLog.exe [21.02.2008 13:05 98363]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [21.02.2008 15:21 17280]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\1.tmp --> c:\windows\system32\1.tmp [?]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [21.02.2008 15:21 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [21.02.2008 15:21 17536]
S4 Bios;Siemens BIOS Driver;c:\windows\system32\drivers\Bios.sys [21.02.2008 13:05 6332]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - vewlytrr
.
Inhalt des "geplante Tasks" Ordners

2010-03-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} - hxxps://juniper.net/dana-cached/sc/JuniperSetupClient.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Copernic Desktop Search 2 - c:\programme\Copernic Desktop Search 2\DesktopSearchService.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-25 15:23
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\1.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vewlytrr]

.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1124)
c:\windows\system32\SICRYPT.dll
c:\windows\system32\SccWin.dll
c:\windows\system32\SmartyCSPHandler.dll
c:\windows\system32\smsw32.dll
c:\windows\system32\sm_bios.dll
c:\windows\system32\SmartyConv.dll
c:\windows\system32\SmartyDatabase.dll
c:\windows\system32\SmartyCrypt.dll
c:\windows\system32\SmartyUserSettings.dll
c:\windows\system32\SmartyTimeBombing.dll
c:\windows\system32\sicry_uk.dll
c:\windows\system32\sicry_d.dll
c:\windows\system32\PSUWNP.dll
c:\windows\system32\msjetoledb40.dll
c:\windows\system32\msjet40.dll
c:\windows\system32\mswstr10.dll
c:\windows\system32\msjter40.dll
c:\windows\system32\MSJINT40.DLL
c:\windows\system32\dllt1.dll
c:\windows\system32\sicryptbio.dll
c:\windows\system32\BioAPI100.dll
c:\windows\system32\BIOAPI_MDS300.dll
c:\windows\system32\diadllde.dll
c:\windows\system32\SmartyAds.dll
c:\windows\system32\SmartyLDAP.dll
c:\windows\system32\NSLDAP32V50.dll
c:\windows\system32\NSLDAPSSL32V50.dll
c:\windows\system32\NSLDAPPR32V50.dll
c:\windows\system32\libnspr4.dll
c:\windows\system32\libplc4.dll
c:\windows\system32\nss3.dll
c:\windows\system32\libplds4.dll
c:\windows\system32\ssl3.dll
c:\windows\system32\sctpm.dll
c:\windows\system32\cmTsp.dll
c:\programme\Avira\AntiVir Desktop\avsda.dll

- - - - - - - > 'lsass.exe'(1180)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2010-03-25 15:25:55
ComboFix-quarantined-files.txt 2010-03-25 14:25

Vor Suchlauf: 11 Verzeichnis(se), 24.375.619.584 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 26.844.471.296 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 91F2650CFD9D0A5D3794FA2CBFF429D9

Schon mal vielen Dank für eure Hilfe!

Gruß Jörg
Seitenanfang Seitenende
25.03.2010, 15:59
Moderator

Beiträge: 7805
#2 Mache bitte folgendes:

1. Starte Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code

http://board.protecus.de/t39364.htm

collect::
C:\Windows\system32\drivers\vewlytrr.sys
c:\windows\system32\config\systemprofile\Anwendungsdaten\jasltw.dat
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\jasltw.dat
Driver::
vewlytrr


3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegangen ist, erscheint ein Popup

Folge den dort angegebenen Anweisungen.

Poste den neu erstellten Combofix Report

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.03.2010, 16:32
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo,

danke für deine schnelle Antwort!

Hier das Log (Popup gab es keins...?):


ComboFix 10-03-24.03 - Administrator 25.03.2010 16:08:30.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2038.1550 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {B02B524A-0C22-45DD-A6D1-70C7010CE58E}

file zipped: c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\jasltw.dat
file zipped: c:\windows\system32\config\systemprofile\Anwendungsdaten\jasltw.dat
file zipped: c:\windows\system32\drivers\vewlytrr.sys
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\jasltw.dat
c:\windows\system32\config\systemprofile\Anwendungsdaten\jasltw.dat
c:\windows\system32\drivers\vewlytrr.sys

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_VEWLYTRR
-------\Service_vewlytrr


((((((((((((((((((((((( Dateien erstellt von 2010-02-25 bis 2010-03-25 ))))))))))))))))))))))))))))))
.

2010-03-25 12:52 . 2010-03-25 14:53 -------- d-----w- c:\programme\Sophos
2010-03-25 12:10 . 2010-03-25 12:30 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-03-25 12:01 . 2010-03-25 12:01 -------- d-----w- c:\programme\Trend Micro
2010-03-24 19:42 . 2010-03-24 19:42 -------- d-----w- c:\windows\system32\config\systemprofile\Anwendungsdaten\Avira
2010-03-21 13:38 . 2008-04-13 23:10 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-03-21 13:38 . 2008-04-13 23:10 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-03-21 13:38 . 2008-04-13 23:11 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-03-21 13:38 . 2008-04-13 23:11 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-03-21 13:38 . 2008-04-13 23:11 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-03-21 13:38 . 2008-04-13 23:11 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-02-25 07:58 . 2010-03-18 20:03 -------- d-----w- c:\dokumente und einstellungen\\Lokale Einstellungen\Anwendungsdaten\Temp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-25 15:15 . 2008-07-02 13:41 708608 ----a-w- c:\windows\system32\DCPPaid.exe
2010-03-25 12:30 . 2008-03-05 07:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-03-25 11:08 . 2008-11-16 12:41 -------- d-----w- c:\programme\Google
2010-03-25 10:58 . 2008-02-21 10:03 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-03-25 10:56 . 2008-02-21 14:50 -------- d-----w- c:\programme\QuickTime Alternative
2010-03-25 10:54 . 2009-09-24 13:10 -------- d-----w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks
2010-03-24 19:59 . 2008-12-31 13:18 -------- d-----w- c:\programme\PokerStars.NET
2010-03-24 17:47 . 2009-09-24 12:05 -------- d-----w- c:\dokumente und einstellungen\\Anwendungsdaten\XPhone30
2010-03-18 15:52 . 2008-08-06 13:44 -------- d-----w- c:\dokumente und einstellungen\\Anwendungsdaten\ZoomBrowser EX
2010-03-03 10:14 . 2009-09-24 13:10 36948 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Setup\uninstall.exe
2010-02-11 17:37 . 2008-02-21 14:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-01-31 21:00 . 2010-01-31 21:00 934960 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Host Checker\AVManagerUnified.dll
2010-01-31 21:00 . 2010-01-31 21:00 93232 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Host Checker\CAntiVirusCOM.dll
2010-01-31 21:00 . 2010-01-31 21:00 46640 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Host Checker\Impl_AntivirusLib.dll
2010-01-31 21:00 . 2010-01-31 21:00 37936 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Host Checker\OPSWATProcessesScanner.dll
2010-01-31 21:00 . 2010-01-31 21:00 34352 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Host Checker\CFireWallCOM.dll
2010-01-31 21:00 . 2010-01-31 21:00 297520 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Host Checker\OESISCore.dll
2010-01-31 21:00 . 2010-01-31 21:00 18992 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Host Checker\Impl_SoftwareProductLib.dll
2010-01-31 21:00 . 2010-01-31 21:00 176688 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Host Checker\FWManager.dll
2010-01-31 21:00 . 2010-01-31 21:00 14384 ----a-w- c:\dokumente und einstellungen\\Anwendungsdaten\Juniper Networks\Host Checker\Impl_FirewallLib.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATSwpNav"="c:\programme\Fingerprint Sensor\ATSwpNav -run" [X]
"LoadFUJ02E3"="c:\programme\Fujitsu\FUJ02E3\FUJ02E3.exe" [2006-11-17 80688]
"LoadFujitsuQuickTouch"="c:\programme\Fujitsu\Application Panel\QuickTouch.exe" [2006-11-25 260912]
"LoadBtnHnd"="c:\programme\Fujitsu\BtnHnd\BtnHnd.exe" [2007-02-06 68400]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-02-26 155648]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-02-26 131072]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-12 16125440]
"AGRSMMSG"="AGRSMMSG.exe" [2006-06-29 89541]
"LtMoh"="c:\programme\ltmoh\Ltmoh.exe" [2005-05-18 188416]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-06-09 794713]
"IndicatorUtility"="c:\programme\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe" [2006-04-20 90112]
"PSUtility"="c:\addon\Fujitsu\PSUtility\TrayManager.exe" [2006-07-05 118784]
"SSUtility"="c:\program files\Fujitsu\SSUtility\FJSSDMN.exe" [2006-07-22 233472]
"TvOutSwitch"="c:\addon\Fujitsu\DispSwitch\DispSwitchLauncher.exe" [2006-08-02 81920]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]
"iPCCheck"="c:\programme\T-Online\T-Online Internationaler Zugang\downloader\ipccheck.exe" [2004-06-08 282624]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2006-02-28 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2002-08-29 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2002-08-29 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-29 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-29 455168]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 144384]
"DCPPaid"="c:\windows\system32\DCPPaid.exe" [2010-03-25 708608]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-06-05 292136]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-12-23 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"T-Online_Software_6\WLAN-Access Finder"="c:\programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 671796]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Device Detector 3.lnk - c:\programme\Olympus\DeviceDetector\DevDtct2.exe [2008-10-20 118784]
InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2008-2-21 278528]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PSUTY]
2006-06-02 16:04 32768 ----a-w- c:\windows\system32\PSUWNP.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R0 dcpp2k;dcpp2k;c:\windows\system32\drivers\dcpp2k.sys [02.07.2008 14:40 770496]
R0 FJGSDisk;G-Sensor Application Filter Driver;c:\windows\system32\drivers\FJGSDisk.sys [21.02.2008 11:04 7168]
R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [21.02.2008 11:34 36640]
R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [21.02.2008 11:32 35456]
R0 smsw;smsw;c:\windows\system32\drivers\smsw.sys [21.02.2008 13:05 46512]
R2 AntiVir Security Management Center Agent;Avira Security Management Center Agent;c:\programme\Avira\Avira Security Management Center Agent\agent.exe [23.12.2009 13:00 753409]
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [23.12.2009 13:01 194817]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [23.12.2009 13:01 108289]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [23.12.2009 13:01 434945]
R2 cmTCS Service;cmTCS Service;c:\windows\system32\cmTCS.exe [21.02.2008 13:05 102400]
R2 DCPP2Svc;SecurStar DCPP 3.81+ Service;c:\programme\DriveCrypt Plus Pack\DCPP2Svc.exe [02.07.2008 14:40 150976]
R2 LogonUserService;Logon User Service;c:\windows\system32\logonuser.exe [21.02.2008 13:05 110651]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [21.02.2008 15:21 61440]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\windows\system32\drivers\fuj02e3.sys [21.02.2008 11:27 4864]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [27.06.2008 10:41 35968]
R3 SmartyLogService;SmartyLog Service;c:\windows\system32\SmartyLog.exe [21.02.2008 13:05 98363]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [21.02.2008 15:21 17280]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\1.tmp --> c:\windows\system32\1.tmp [?]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [21.02.2008 15:21 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [21.02.2008 15:21 17536]
S4 Bios;Siemens BIOS Driver;c:\windows\system32\drivers\Bios.sys [21.02.2008 13:05 6332]
.
Inhalt des "geplante Tasks" Ordners

2010-03-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} - hxxps://juniper.net/dana-cached/sc/JuniperSetupClient.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-25 16:16
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\1.tmp"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1112)
c:\windows\system32\SICRYPT.dll
c:\windows\system32\SccWin.dll
c:\windows\system32\SmartyCSPHandler.dll
c:\windows\system32\smsw32.dll
c:\windows\system32\sm_bios.dll
c:\windows\system32\SmartyConv.dll
c:\windows\system32\SmartyDatabase.dll
c:\windows\system32\SmartyCrypt.dll
c:\windows\system32\SmartyUserSettings.dll
c:\windows\system32\SmartyTimeBombing.dll
c:\windows\system32\sicry_uk.dll
c:\windows\system32\sicry_d.dll
c:\windows\system32\PSUWNP.dll
c:\windows\system32\msjetoledb40.dll
c:\windows\system32\msjet40.dll
c:\windows\system32\mswstr10.dll
c:\windows\system32\msjter40.dll
c:\windows\system32\MSJINT40.DLL
c:\windows\system32\dllt1.dll
c:\windows\system32\sicryptbio.dll
c:\windows\system32\BioAPI100.dll
c:\windows\system32\BIOAPI_MDS300.dll
c:\windows\system32\diadllde.dll
c:\windows\system32\SmartyAds.dll
c:\windows\system32\SmartyLDAP.dll
c:\windows\system32\NSLDAP32V50.dll
c:\windows\system32\NSLDAPSSL32V50.dll
c:\windows\system32\NSLDAPPR32V50.dll
c:\windows\system32\libnspr4.dll
c:\windows\system32\libplc4.dll
c:\windows\system32\nss3.dll
c:\windows\system32\libplds4.dll
c:\windows\system32\ssl3.dll
c:\windows\system32\sctpm.dll
c:\windows\system32\cmTsp.dll
c:\programme\Avira\AntiVir Desktop\avsda.dll

- - - - - - - > 'lsass.exe'(1168)
c:\programme\Avira\AntiVir Desktop\avsda.dll

- - - - - - - > 'explorer.exe'(3416)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
c:\windows\system32\o2flash.exe
c:\windows\system32\UTSCSI.EXE
c:\programme\Fingerprint Sensor\ATSwpNav.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\RTHDCPL.EXE
c:\windows\AGRSMMSG.exe
c:\programme\Fujitsu\BtnHnd\BtnHndHkb.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-03-25 16:24:17 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-03-25 15:24
ComboFix2.txt 2010-03-25 14:25

Vor Suchlauf: 12 Verzeichnis(se), 26.824.421.376 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 26.702.512.128 Bytes frei

- - End Of File - - 1C7B19AF06A8D74F9023BD182B79C4C7


Die Datei ist weg; die Reg-Einträge z.T. noch vorhanden.

Gruß Jörg
Seitenanfang Seitenende
25.03.2010, 17:00
Moderator

Beiträge: 7805
#4 Schau bitte, ob du die DAtei C:\CF-Submit.htm bei dir findest, wenn ja, starte sie bitte und folgen den Anweisungen.
Aktualisiere bitte Antivir und nutze Malwarebytes. poste den ERstellten Report
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.03.2010, 13:06
...neu hier

Themenstarter

Beiträge: 3
#5 Die Submit.htm gibt es nicht; AntiVir war und ist aktuell (obwohl ComboFix
da was anderes sagt) und hier ist der Report:


Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3915
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

26.03.2010 13:03:14
mbam-log-2010-03-26 (13-03-14).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 209580
Laufzeit: 54 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gruß Jörg
Seitenanfang Seitenende
26.03.2010, 13:35
Moderator

Beiträge: 7805
#6 Dann schau bitte im Qoobox Ordner(Oder unterordner) unter c: nach einer Zipdatei, die einen Dateinamen wie [4]-Submit [Datum] traegt und lade ihn hier hoch

Welche Eintraege genau meinst du mit "Die Datei ist weg; die Reg-Einträge z.T. noch vorhanden."

Nachtrag: Da ich erst jetzt gesehen habe, das sich das wohl um einen Firmenrechner handelt, eine Bitte! Setze eure IT Abteilung von dem Befall in Kenntnis. Bedenke, das die Malware alle moeglichen Informationen, ueber Passworte, Emails und andere Dokumente, gestohlen haben koennte, bzw wohl hat!

Das mit dem Hochladen vergesse bitte, da in den Dateien jasltw.dat sich die (verschluesselten)Infos befinden, die es geklaut hat. Der Groesse nach zu Urteilen, wurde aber bereits alles verschickt, da sie nur die Groesse von 8 Bytes hat.

Du solltest Combofix ueber Start/Ausfuehren deinstallieren, indem du dort combofix /uninstall eingebist und enter drueckst. Es besteht die Moeglichkeit, das nicht die gesamte Malware beseitigt wurde!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: