Antivirus XP Pro |
Willkommen, Gast ( Anmelden | Registrierung )
Antivirus XP Pro |
02.05.2009, 20:17
Beitrag
#21
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Ja, da hast du dir ein TDSS rootkit eingefangen. Daten sichern und neu aufsetzen. Wahlweise Daten sichern und Combofix nutzen:
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. http://www.bleepingcomputer.com/combofix/d...ix-benutzt-wird Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast. Wenn du noch weisst, wo, oder durch welchen Download du dir das eingefangen hast, dann immer her mit den Infos... -------------------- MfG Ralf
|
|
|
02.05.2009, 20:28
Beitrag
#22
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 18 Mitglied seit: 02.05.2009 Mitglieds-Nr.: 7.535 Betriebssystem: Windows XP SP2 Virenscanner: Antivir 2009 Firewall: Windows Firewall |
ok, danke bin grad dabei combofix zu erledigen.
leider kann ich weiterhelfen wie und wo ich den virus eingefangen hab. heut morgen war nichts und als ich den rechner das einzige was sein könnte, das ich auf seiten war wo ich nen fussball stream geschaut habe. usstream wars glaub ich aber ich seh grad combofix ist grad löschen und neustarten des rechner infos gibts leich im post. |
|
|
02.05.2009, 20:31
Beitrag
#23
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
ZITAT das ich auf seiten war wo ich nen fussball stream geschaut habe hattest du auf deinem Windows immer die Patche eingespielt ? ich sehe hier die mögliche Schwachstelle wie das passiert sein konnte. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
02.05.2009, 20:34
Beitrag
#24
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 18 Mitglied seit: 02.05.2009 Mitglieds-Nr.: 7.535 Betriebssystem: Windows XP SP2 Virenscanner: Antivir 2009 Firewall: Windows Firewall |
wie meinst das mit einspielen von patche?
ne das waren webplayer, wo ich direkt auf der seite angeschaut habe. so das ist meine auswertung von combofix: oder kann ich die datei irgendwo einfügen, damit es ein wenig übersichtlicher wird? ComboFix 09-05-02.4 - Alkan 02.05.2009 21:23.1 - FAT32x86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.657 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Alkan\Desktop\ComboFix.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\Alkan\Lokale Einstellungen\Temporary Internet Files\fbk.sts c:\windows\38896.exe c:\windows\77338.exe c:\windows\system32\erolisiz.ini c:\windows\system32\uniq.tll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SEAGATE_COMMUNICATION -------\Service_Seagate Communication ((((((((((((((((((((((( Dateien erstellt von 2009-04-02 bis 2009-05-02 )))))))))))))))))))))))))))))) . 2009-05-02 18:10 . 2009-05-02 18:10 -------- d-----w c:\dokumente und einstellungen\Alkan\Anwendungsdaten\Malwarebytes 2009-05-02 18:10 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-05-02 18:10 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-05-02 18:10 . 2009-05-02 18:10 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-05-02 18:10 . 2009-05-02 18:10 -------- d-----w c:\programme\Malwarebytes' Anti-Malware 2009-05-02 17:50 . 2009-05-02 17:50 -------- d-----w c:\programme\Enigma Software Group 2009-05-02 16:59 . 2009-05-02 18:07 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys 2009-05-02 16:59 . 2009-05-02 16:59 -------- d-----w c:\programme\Avira 2009-05-02 15:22 . 2009-05-02 15:22 -------- d-----w c:\programme\Trend Micro 2009-05-02 14:27 . 2009-05-02 14:27 -------- d-sh--w c:\dokumente und einstellungen\Alkan\Lokale Einstellungen\Anwendungsdaten\.# 2009-04-30 20:43 . 2009-04-30 20:43 56 ---ha-w c:\windows\system32\ezsidmv.dat 2009-04-30 20:43 . 2009-04-30 20:43 -------- d-----w c:\dokumente und einstellungen\Alkan\Anwendungsdaten\skypePM 2009-04-30 20:43 . 2009-04-30 20:43 -------- d-----w c:\programme\Gemeinsame Dateien\Skype 2009-04-17 21:10 . 2005-07-26 04:29 60416 ------w c:\windows\system32\dllcache\colbact.dll 2009-04-17 21:10 . 2009-03-06 13:59 286720 ------w c:\windows\system32\dllcache\pdh.dll 2009-04-17 21:10 . 2009-02-06 09:41 227840 ------w c:\windows\system32\dllcache\wmiprvse.exe 2009-04-17 21:10 . 2009-02-09 10:00 401408 ------w c:\windows\system32\dllcache\rpcss.dll 2009-04-17 21:10 . 2009-02-09 10:00 473088 ------w c:\windows\system32\dllcache\fastprox.dll 2009-04-17 21:10 . 2009-02-09 09:48 111104 ------w c:\windows\system32\dllcache\services.exe 2009-04-17 21:10 . 2009-02-09 10:00 678912 ------w c:\windows\system32\dllcache\advapi32.dll 2009-04-17 21:10 . 2009-02-09 10:00 740864 ------w c:\windows\system32\dllcache\ntdll.dll 2009-04-17 21:08 . 2008-04-21 21:25 217600 ------w c:\windows\system32\dllcache\wordpad.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-02 19:26 . 2007-12-20 18:41 6 ---ha-w c:\windows\Tasks\SA.DAT 2009-05-02 14:39 . 2009-02-02 14:39 51200 --sha-w c:\windows\system32\kolubagu.exe 2009-05-01 17:54 . 2008-01-05 23:39 138168 ----a-w c:\windows\system32\drivers\PnkBstrK.sys 2009-05-01 17:54 . 2008-01-05 23:38 189472 ----a-w c:\windows\system32\PnkBstrB.exe 2009-04-20 18:27 . 2009-04-20 18:27 4904 ----a-w c:\windows\system32\PerfStringBackup.TMP 2009-04-20 18:27 . 2001-08-18 10:00 506972 ----a-w c:\windows\system32\perfh007.dat 2009-04-20 18:27 . 2001-08-18 10:00 104100 ----a-w c:\windows\system32\perfc007.dat 2009-03-27 15:25 . 2008-01-05 23:39 75064 ----a-w c:\windows\system32\PnkBstrA.exe 2009-03-16 19:54 . 2009-03-16 19:54 -------- d-----w c:\programme\Microsoft Office Outlook Connector 2009-03-16 19:53 . 2009-03-16 19:53 -------- d-----w c:\programme\Microsoft 2009-03-16 19:50 . 2009-03-16 19:50 -------- d-----w c:\programme\Gemeinsame Dateien\Windows Live 2009-03-11 15:18 . 2007-12-20 19:13 46096 ----a-w c:\dokumente und einstellungen\Alkan\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-03-06 13:59 . 2001-08-18 10:00 286720 ----a-w c:\windows\system32\pdh.dll 2009-03-03 00:03 . 2001-08-18 10:00 826368 ----a-w c:\windows\system32\wininet.dll 2009-03-01 23:18 . 2009-01-23 16:01 168592 ----a-w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2009-02-20 16:49 . 2007-12-20 19:08 78336 ----a-w c:\windows\system32\ieencode.dll 2009-02-14 01:58 . 2009-02-14 01:58 128025 ----a-w c:\windows\system32\avira.exe 2009-02-09 13:14 . 2001-08-18 10:00 1846400 ----a-w c:\windows\system32\win32k.sys 2009-02-09 11:39 . 2001-08-18 02:28 2065280 ----a-w c:\windows\system32\ntkrnlpa.exe 2009-02-09 11:39 . 2001-08-18 10:00 2188416 ----a-w c:\windows\system32\ntoskrnl.exe 2009-02-09 10:01 . 2001-08-18 10:00 736256 ----a-w c:\windows\system32\lsasrv.dll 2009-02-09 10:00 . 2001-08-18 10:00 740864 ----a-w c:\windows\system32\ntdll.dll 2009-02-09 10:00 . 2001-08-18 10:00 678912 ----a-w c:\windows\system32\advapi32.dll 2009-02-09 10:00 . 2001-08-18 10:00 401408 ----a-w c:\windows\system32\rpcss.dll 2009-02-09 09:48 . 2001-08-18 10:00 111104 ----a-w c:\windows\system32\services.exe 2009-02-06 16:52 . 2009-02-06 16:52 49504 ----a-w c:\windows\system32\sirenacm.dll 2009-02-06 09:54 . 2001-08-18 10:00 35328 ----a-w c:\windows\system32\sc.exe 2009-02-03 19:52 . 2001-08-18 10:00 56320 ----a-w c:\windows\system32\secur32.dll 2008-11-14 14:58 . 2007-12-20 20:34 67696 ----a-w c:\programme\mozilla firefox\components\jar50.dll 2008-11-14 14:58 . 2007-12-20 20:34 54376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll 2008-11-14 14:58 . 2007-12-20 20:34 34952 ----a-w c:\programme\mozilla firefox\components\myspell.dll 2008-11-14 14:58 . 2007-12-20 20:34 46720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll 2008-11-14 14:58 . 2007-12-20 20:34 172144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-10-04 1626112] "SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-11-17 577536] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ StickyNote.lnk - d:\programme\StickyNote\StickyNote.exe [2007-12-21 318976] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSetActiveDesktop"= 1 (0x1) "NoActiveDesktopChanges"= 1 (0x1) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup "Acrobat Assistant 7.0"="d:\programme\Adobe\Distillr\Acrotray.exe" "NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit "DAEMON Tools"="d:\programme\DAEMON Tools\daemon.exe" -lang 1033 "BigDogPath"=c:\windows\VM_STI.EXE Philips SPC 200NC PC Camera "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" "NokiaMServer"=c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "d:\\Programme\\Xfire\\xfire.exe"= "c:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe"= "d:\\Programme\\BearShare\\BearShare.exe"= "d:\\Spiele\\Counterstrike\\cstrike.exe"= "d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "d:\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= "d:\\Spiele\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"= "d:\\Programme\\InternetCalls.com\\InternetCalls\\InternetCalls.exe"= "d:\\Programme\\SopCast\\SopCast.exe"= "c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"= "d:\\Programme\\TVUPlayer\\TVUPlayer.exe"= "d:\\Programme\\hlsw\\hlsw.exe"= "c:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"= "d:\\Spiele\\TmNationsForever\\TmForever.exe"= "c:\\WINDOWS\\System32\\PnkBstrA.exe"= "c:\\WINDOWS\\System32\\PnkBstrB.exe"= "c:\\WINDOWS\\System32\\dplaysvr.exe"= "d:\\Spiele\\Age of Empires 2 Sein Vater\\age2_x1.exe"= "c:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"= "d:\\Spiele\\Age of Empires 2 Sein Vater\\empires2.exe"= "d:\\Spiele\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"= "d:\\Spiele\\Need for Speed MW\\speed.exe"= "d:\\Programme\\Steam\\Steam.exe"= "d:\\Programme\\Steam\\steamapps\\babyface187\\counter-strike\\hl.exe"= "d:\\SpieleKONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"= "d:\\Spiele\\COD5\\CoDWaWmp.exe"= "d:\\Spiele\\COD5\\CoDWaW.exe"= "d:\\Spiele\\COD5\\CoDWaW_LANFixed.exe"= "d:\\Spiele\\FIFA 09\\FIFA09.exe"= "c:\\Dokumente und Einstellungen\\Alkan\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"= "c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"= "c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"= "c:\\WINDOWS\\System32\\dpnsvr.exe"= "c:\\WINDOWS\\System32\\DXDiag.exe"= "d:\\Spiele\\EA Games\\Battlefield2\\BF2.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "d:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2008-04-12 13352] R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2008-02-01 138112] R3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2008-02-01 8320] R3 s125bus;Sony Ericsson Device 125 driver (WDM);c:\windows\system32\DRIVERS\s125bus.sys [2007-04-24 83336] R3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s125mdfl.sys [2007-04-24 15112] R3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s125mdm.sys [2007-04-24 108680] R3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s125mgmt.sys [2007-04-24 100488] R3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s125obex.sys [2007-04-24 98696] R3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\DRIVERS\s816bus.sys [2007-06-19 81832] R3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s816mdfl.sys [2007-06-19 13864] R3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s816mdm.sys [2007-06-19 107304] R3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s816mgmt.sys [2007-06-19 99112] R3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\DRIVERS\s816nd5.sys [2007-06-19 21928] R3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s816obex.sys [2007-06-19 97320] R3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\DRIVERS\s816unic.sys [2007-06-19 97704] R3 sdAuxService;PC Tools Auxiliary Service;d:\programme\Spyware Doctor\svcntaux.exe [2007-08-02 729416] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-05-02 108289] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9E1FF3E6-CB7E-08D2-9208-CEAD26BD849F}] c:\dokumente und einstellungen\Alkan\Anwendungsdaten\avira.exe s . - - - - Entfernte verwaiste Registrierungseinträge - - - - Notify-WgaLogon - (no file) . ------- Zusätzlicher Suchlauf ------- . uStart Page = go.microsoft.com/fwlink/?LinkId=69157 IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Auswahl in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: In Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: In vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000 IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html DPF: {A672558F-A878-4D5A-A921-627C091CEB60} - hxxp://www.flatcast.info/objects/NpFp415.dll DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1207322465 FF - ProfilePath - c:\dokumente und einstellungen\Alkan\Anwendungsdaten\Mozilla\Firefox\Profiles\1qu4bk6h.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q= FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q= FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll FF - plugin: d:\programme\Adobe\Acrobat\browser\nppdf32.dll FF - plugin: d:\programme\DivX\DivX Content Uploader\npUpload.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin2.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin3.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin4.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin5.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin6.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin7.dll FF - plugin: d:\programme\VLC\npvlc.dll ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: content.max.tokenizing.time - 1800000 FF - user.js: content.notify.interval - 600000 FF - user.js: content.switch.threshold - 1000000 FF - user.js: nglayout.initialpaint.delay - 600 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-02 21:27 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... c:\windows\system32\drivers\ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys 90112 bytes c:\windows\system32\ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll 65536 bytes c:\windows\system32\ovfsthusgdrkrtucvodmorcdlxwyuwpiektejd.dat 16384 bytes c:\windows\system32\ovfsthvrpuxvkolxetcjftyjiqqwyrmtbtbcle.dll 24576 bytes c:\windows\system32\ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll 24576 bytes c:\windows\system32\ovfsthfpqpxgcykuyningdpiyfokpgexmrcamp.dat 8192 bytes c:\windows\system32\ovfsthfvaavokbmnmbxtcvbwulkdwyksiqvrvb.dat 8192 bytes c:\windows\system32\ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll 65536 bytes c:\windows\system32\ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll 24576 bytes c:\windows\system32\ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll 24576 bytes c:\windows\system32\ovfsthwggmntpxdupfwighecfuvrmiauthqfqk.dat 8192 bytes c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthx000 0 bytes c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthyuiqylbesm.tmp 114688 bytes c:\dokume~1\Alkan\LOKALE~1\Temp\ovfstheqxtadsiwu.tmp 344064 bytes c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthnwmcosrlmx.tmp 139264 bytes Scan erfolgreich abgeschlossen versteckte Dateien: 15 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1177238915-823518204-839522115-1003\Software\SecuROM\License information*] "datasecu"=hex:c2,dc,b3,a5,6a,7c,31,53,d1,58,09,1e,3e,55,1b,81,ff,cc,eb,70,8f, 28,f1,a7,93,e9,17,9f,7f,5b,68,6c,4e,ab,3c,0a,9c,c7,66,2d,2b,91,b3,bc,95,24,\ "rkeysecu"=hex:57,c8,56,fa,55,e0,1c,c5,e2,b4,6e,9a,3b,5d,9b,e2 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(2984) c:\progra~1\WINDOW~3\wmpband.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\SYSTEM32\BRSS01A.EXE c:\programme\AVIRA\ANTIVIR DESKTOP\AVGUARD.EXE d:\programme\Nero 8\Nero\Nero8\Nero BackItUp\NBService.exe c:\windows\SYSTEM32\NVSVC32.EXE c:\windows\SYSTEM32\PNKBSTRA.EXE . ************************************************************************** . Zeit der Fertigstellung: 2009-05-02 21:29 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-05-02 19:29 Vor Suchlauf: 2.717.876.224 Bytes frei Nach Suchlauf: 2.736.119.808 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4 275 --- E O F --- 2009-05-02 00:11 |
|
|
02.05.2009, 20:45
Beitrag
#25
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Mache bitte folgendes:
1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. QUELLTEXT http://www.rokop-security.de/index.php?showtopic=18591&st=20&#entry272899 Driver:: ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy collect:: c:\windows\system32\drivers\ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys c:\windows\system32\ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll c:\windows\system32\ovfsthusgdrkrtucvodmorcdlxwyuwpiektejd.dat c:\windows\system32\ovfsthvrpuxvkolxetcjftyjiqqwyrmtbtbcle.dll c:\windows\system32\ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll c:\windows\system32\ovfsthfpqpxgcykuyningdpiyfokpgexmrcamp.dat c:\windows\system32\ovfsthfvaavokbmnmbxtcvbwulkdwyksiqvrvb.dat c:\windows\system32\ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll c:\windows\system32\ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll c:\windows\system32\ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll c:\windows\system32\ovfsthwggmntpxdupfwighecfuvrmiauthqfqk.dat c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthx000 c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthyuiqylbesm.tmp c:\dokume~1\Alkan\LOKALE~1\Temp\ovfstheqxtadsiwu.tmp c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthnwmcosrlmx.tmp c:\dokumente und einstellungen\Alkan\Anwendungsdaten\avira.exe 3. Speichere im Notepad als CFScript.txt auf dem Desktop. 4. Deaktivere den Guard Deines Antivirenprogramms. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer!) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (falls du gefragt wirst, ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt 7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup Dies mit Ok wegklicken und es öffnet sich Dein Browser. Folge den dort angegebenen Anweisungen. Poste den neu erstellten Combofix Report Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann -------------------- MfG Ralf
|
|
|
02.05.2009, 21:03
Beitrag
#26
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 18 Mitglied seit: 02.05.2009 Mitglieds-Nr.: 7.535 Betriebssystem: Windows XP SP2 Virenscanner: Antivir 2009 Firewall: Windows Firewall |
also, dass ist mal das ergebnis:
ComboFix 09-05-02.4 - Alkan 02.05.2009 21:53.2 - FAT32x86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.705 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Alkan\Desktop\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Alkan\Desktop\CFScript.txt AV: AntiVir Desktop *On-access scanning disabled* (Updated) file zipped: c:\windows\system32\drivers\Collect_ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys.vir file zipped: c:\windows\system32\Collect_ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll.vir file zipped: c:\windows\system32\Collect_ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll.vir file zipped: c:\windows\system32\Collect_ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll.vir file zipped: c:\windows\system32\Collect_ovfsthfpqpxgcykuyningdpiyfokpgexmrcamp.dat.vir file zipped: c:\windows\system32\Collect_ovfsthfvaavokbmnmbxtcvbwulkdwyksiqvrvb.dat.vir file zipped: c:\windows\system32\Collect_ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll.vir file zipped: c:\windows\system32\Collect_ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll.vir file zipped: c:\windows\system32\Collect_ovfsthusgdrkrtucvodmorcdlxwyuwpiektejd.dat.vir file zipped: c:\windows\system32\Collect_ovfsthvrpuxvkolxetcjftyjiqqwyrmtbtbcle.dll.vir file zipped: c:\windows\system32\Collect_ovfsthwggmntpxdupfwighecfuvrmiauthqfqk.dat.vir . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokume~1\Alkan\LOKALE~1\Temp\ovfstheqxtadsiwu.tmp c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthnwmcosrlmx.tmp c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthx000 c:\dokume~1\Alkan\LOKALE~1\Temp\ovfsthyuiqylbesm.tmp c:\windows\system32\drivers\ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys c:\windows\system32\ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll c:\windows\system32\ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll c:\windows\system32\ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll c:\windows\system32\ovfsthfpqpxgcykuyningdpiyfokpgexmrcamp.dat c:\windows\system32\ovfsthfvaavokbmnmbxtcvbwulkdwyksiqvrvb.dat c:\windows\system32\ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll c:\windows\system32\ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll c:\windows\system32\ovfsthusgdrkrtucvodmorcdlxwyuwpiektejd.dat c:\windows\system32\ovfsthvrpuxvkolxetcjftyjiqqwyrmtbtbcle.dll c:\windows\system32\ovfsthwggmntpxdupfwighecfuvrmiauthqfqk.dat . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_ovfsthlhrqjknijenkvwqomqytepavbotsvcni ((((((((((((((((((((((( Dateien erstellt von 2009-04-02 bis 2009-05-02 )))))))))))))))))))))))))))))) . 2009-05-02 18:10 . 2009-05-02 18:10 -------- d-----w c:\dokumente und einstellungen\Alkan\Anwendungsdaten\Malwarebytes 2009-05-02 18:10 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-05-02 18:10 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-05-02 18:10 . 2009-05-02 18:10 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-05-02 18:10 . 2009-05-02 18:10 -------- d-----w c:\programme\Malwarebytes' Anti-Malware 2009-05-02 17:50 . 2009-05-02 17:50 -------- d-----w c:\programme\Enigma Software Group 2009-05-02 16:59 . 2009-05-02 18:07 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys 2009-05-02 16:59 . 2009-05-02 16:59 -------- d-----w c:\programme\Avira 2009-05-02 15:22 . 2009-05-02 15:22 -------- d-----w c:\programme\Trend Micro 2009-05-02 14:27 . 2009-05-02 14:27 -------- d-sh--w c:\dokumente und einstellungen\Alkan\Lokale Einstellungen\Anwendungsdaten\.# 2009-04-30 20:43 . 2009-04-30 20:43 56 ---ha-w c:\windows\system32\ezsidmv.dat 2009-04-30 20:43 . 2009-04-30 20:43 -------- d-----w c:\dokumente und einstellungen\Alkan\Anwendungsdaten\skypePM 2009-04-30 20:43 . 2009-04-30 20:43 -------- d-----w c:\programme\Gemeinsame Dateien\Skype 2009-04-17 21:10 . 2005-07-26 04:29 60416 ------w c:\windows\system32\dllcache\colbact.dll 2009-04-17 21:10 . 2009-03-06 13:59 286720 ------w c:\windows\system32\dllcache\pdh.dll 2009-04-17 21:10 . 2009-02-06 09:41 227840 ------w c:\windows\system32\dllcache\wmiprvse.exe 2009-04-17 21:10 . 2009-02-09 10:00 401408 ------w c:\windows\system32\dllcache\rpcss.dll 2009-04-17 21:10 . 2009-02-09 10:00 473088 ------w c:\windows\system32\dllcache\fastprox.dll 2009-04-17 21:10 . 2009-02-09 09:48 111104 ------w c:\windows\system32\dllcache\services.exe 2009-04-17 21:10 . 2009-02-09 10:00 678912 ------w c:\windows\system32\dllcache\advapi32.dll 2009-04-17 21:10 . 2009-02-09 10:00 740864 ------w c:\windows\system32\dllcache\ntdll.dll 2009-04-17 21:08 . 2008-04-21 21:25 217600 ------w c:\windows\system32\dllcache\wordpad.exe . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-05-02 19:56 . 2007-12-20 18:41 6 ---ha-w c:\windows\Tasks\SA.DAT 2009-05-02 14:39 . 2009-02-02 14:39 51200 --sha-w c:\windows\system32\kolubagu.exe 2009-05-01 17:54 . 2008-01-05 23:39 138168 ----a-w c:\windows\system32\drivers\PnkBstrK.sys 2009-05-01 17:54 . 2008-01-05 23:38 189472 ----a-w c:\windows\system32\PnkBstrB.exe 2009-04-20 18:27 . 2009-04-20 18:27 4904 ----a-w c:\windows\system32\PerfStringBackup.TMP 2009-04-20 18:27 . 2001-08-18 10:00 506972 ----a-w c:\windows\system32\perfh007.dat 2009-04-20 18:27 . 2001-08-18 10:00 104100 ----a-w c:\windows\system32\perfc007.dat 2009-03-27 15:25 . 2008-01-05 23:39 75064 ----a-w c:\windows\system32\PnkBstrA.exe 2009-03-16 19:54 . 2009-03-16 19:54 -------- d-----w c:\programme\Microsoft Office Outlook Connector 2009-03-16 19:53 . 2009-03-16 19:53 -------- d-----w c:\programme\Microsoft 2009-03-16 19:50 . 2009-03-16 19:50 -------- d-----w c:\programme\Gemeinsame Dateien\Windows Live 2009-03-11 15:18 . 2007-12-20 19:13 46096 ----a-w c:\dokumente und einstellungen\Alkan\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-03-06 13:59 . 2001-08-18 10:00 286720 ----a-w c:\windows\system32\pdh.dll 2009-03-03 00:03 . 2001-08-18 10:00 826368 ----a-w c:\windows\system32\wininet.dll 2009-03-01 23:18 . 2009-01-23 16:01 168592 ----a-w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2009-02-20 16:49 . 2007-12-20 19:08 78336 ----a-w c:\windows\system32\ieencode.dll 2009-02-14 01:58 . 2009-02-14 01:58 128025 ----a-w c:\windows\system32\avira.exe 2009-02-09 13:14 . 2001-08-18 10:00 1846400 ----a-w c:\windows\system32\win32k.sys 2009-02-09 11:39 . 2001-08-18 02:28 2065280 ----a-w c:\windows\system32\ntkrnlpa.exe 2009-02-09 11:39 . 2001-08-18 10:00 2188416 ----a-w c:\windows\system32\ntoskrnl.exe 2009-02-09 10:01 . 2001-08-18 10:00 736256 ----a-w c:\windows\system32\lsasrv.dll 2009-02-09 10:00 . 2001-08-18 10:00 740864 ----a-w c:\windows\system32\ntdll.dll 2009-02-09 10:00 . 2001-08-18 10:00 678912 ----a-w c:\windows\system32\advapi32.dll 2009-02-09 10:00 . 2001-08-18 10:00 401408 ----a-w c:\windows\system32\rpcss.dll 2009-02-09 09:48 . 2001-08-18 10:00 111104 ----a-w c:\windows\system32\services.exe 2009-02-06 16:52 . 2009-02-06 16:52 49504 ----a-w c:\windows\system32\sirenacm.dll 2009-02-06 09:54 . 2001-08-18 10:00 35328 ----a-w c:\windows\system32\sc.exe 2009-02-03 19:52 . 2001-08-18 10:00 56320 ----a-w c:\windows\system32\secur32.dll 2008-11-14 14:58 . 2007-12-20 20:34 67696 ----a-w c:\programme\mozilla firefox\components\jar50.dll 2008-11-14 14:58 . 2007-12-20 20:34 54376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll 2008-11-14 14:58 . 2007-12-20 20:34 34952 ----a-w c:\programme\mozilla firefox\components\myspell.dll 2008-11-14 14:58 . 2007-12-20 20:34 46720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll 2008-11-14 14:58 . 2007-12-20 20:34 172144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll . ((((((((((((((((((((((((((((( SnapShot@2009-05-02_19.27.27 ))))))))))))))))))))))))))))))))))))))))) . - 2007-12-20 18:43 . 2009-05-02 19:22 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2007-12-20 18:43 . 2009-05-02 19:52 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat + 2007-12-20 18:43 . 2009-05-02 19:52 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat - 2007-12-20 18:43 . 2009-05-02 19:22 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat + 2007-12-20 18:43 . 2009-05-02 19:52 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat - 2007-12-20 18:43 . 2009-05-02 19:22 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-10-04 1626112] "SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-11-17 577536] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ StickyNote.lnk - d:\programme\StickyNote\StickyNote.exe [2007-12-21 318976] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSetActiveDesktop"= 1 (0x1) "NoActiveDesktopChanges"= 1 (0x1) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup "Acrobat Assistant 7.0"="d:\programme\Adobe\Distillr\Acrotray.exe" "NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit "DAEMON Tools"="d:\programme\DAEMON Tools\daemon.exe" -lang 1033 "BigDogPath"=c:\windows\VM_STI.EXE Philips SPC 200NC PC Camera "SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" "NokiaMServer"=c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "d:\\Programme\\Xfire\\xfire.exe"= "c:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe"= "d:\\Programme\\BearShare\\BearShare.exe"= "d:\\Spiele\\Counterstrike\\cstrike.exe"= "d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "d:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "d:\\Spiele\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= "d:\\Spiele\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"= "d:\\Programme\\InternetCalls.com\\InternetCalls\\InternetCalls.exe"= "d:\\Programme\\SopCast\\SopCast.exe"= "c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"= "d:\\Programme\\TVUPlayer\\TVUPlayer.exe"= "d:\\Programme\\hlsw\\hlsw.exe"= "c:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"= "d:\\Spiele\\TmNationsForever\\TmForever.exe"= "c:\\WINDOWS\\System32\\PnkBstrA.exe"= "c:\\WINDOWS\\System32\\PnkBstrB.exe"= "c:\\WINDOWS\\System32\\dplaysvr.exe"= "d:\\Spiele\\Age of Empires 2 Sein Vater\\age2_x1.exe"= "c:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"= "d:\\Spiele\\Age of Empires 2 Sein Vater\\empires2.exe"= "d:\\Spiele\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"= "d:\\Spiele\\Need for Speed MW\\speed.exe"= "d:\\Programme\\Steam\\Steam.exe"= "d:\\Programme\\Steam\\steamapps\\babyface187\\counter-strike\\hl.exe"= "d:\\SpieleKONAMI\\Pro Evolution Soccer 2009\\pes2009.exe"= "d:\\Spiele\\COD5\\CoDWaWmp.exe"= "d:\\Spiele\\COD5\\CoDWaW.exe"= "d:\\Spiele\\COD5\\CoDWaW_LANFixed.exe"= "d:\\Spiele\\FIFA 09\\FIFA09.exe"= "c:\\Dokumente und Einstellungen\\Alkan\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"= "c:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"= "c:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"= "c:\\WINDOWS\\System32\\dpnsvr.exe"= "c:\\WINDOWS\\System32\\DXDiag.exe"= "d:\\Spiele\\EA Games\\Battlefield2\\BF2.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "d:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2008-04-12 13352] R3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2008-02-01 138112] R3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2008-02-01 8320] R3 s125bus;Sony Ericsson Device 125 driver (WDM);c:\windows\system32\DRIVERS\s125bus.sys [2007-04-24 83336] R3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s125mdfl.sys [2007-04-24 15112] R3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s125mdm.sys [2007-04-24 108680] R3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s125mgmt.sys [2007-04-24 100488] R3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s125obex.sys [2007-04-24 98696] R3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\DRIVERS\s816bus.sys [2007-06-19 81832] R3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s816mdfl.sys [2007-06-19 13864] R3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s816mdm.sys [2007-06-19 107304] R3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s816mgmt.sys [2007-06-19 99112] R3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\DRIVERS\s816nd5.sys [2007-06-19 21928] R3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s816obex.sys [2007-06-19 97320] R3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\DRIVERS\s816unic.sys [2007-06-19 97704] R3 sdAuxService;PC Tools Auxiliary Service;d:\programme\Spyware Doctor\svcntaux.exe [2007-08-02 729416] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-05-02 108289] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9E1FF3E6-CB7E-08D2-9208-CEAD26BD849F}] c:\dokumente und einstellungen\Alkan\Anwendungsdaten\avira.exe s . . ------- Zusätzlicher Suchlauf ------- . uStart Page = go.microsoft.com/fwlink/?LinkId=69157 IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Auswahl in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Auswahl in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: In Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: In vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000 IE: Verknüpfungsziel in Adobe PDF konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - d:\programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html DPF: {A672558F-A878-4D5A-A921-627C091CEB60} - hxxp://www.flatcast.info/objects/NpFp415.dll DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1207322465 FF - ProfilePath - c:\dokumente und einstellungen\Alkan\Anwendungsdaten\Mozilla\Firefox\Profiles\1qu4bk6h.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q= FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q= FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll FF - plugin: d:\programme\Adobe\Acrobat\browser\nppdf32.dll FF - plugin: d:\programme\DivX\DivX Content Uploader\npUpload.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin2.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin3.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin4.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin5.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin6.dll FF - plugin: d:\programme\QuickTime\Plugins\npqtplugin7.dll FF - plugin: d:\programme\VLC\npvlc.dll ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: content.max.tokenizing.time - 1800000 FF - user.js: content.notify.interval - 600000 FF - user.js: content.switch.threshold - 1000000 FF - user.js: nglayout.initialpaint.delay - 600 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-05-02 21:57 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1177238915-823518204-839522115-1003\Software\SecuROM\License information*] "datasecu"=hex:c2,dc,b3,a5,6a,7c,31,53,d1,58,09,1e,3e,55,1b,81,ff,cc,eb,70,8f, 28,f1,a7,93,e9,17,9f,7f,5b,68,6c,4e,ab,3c,0a,9c,c7,66,2d,2b,91,b3,bc,95,24,\ "rkeysecu"=hex:57,c8,56,fa,55,e0,1c,c5,e2,b4,6e,9a,3b,5d,9b,e2 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(2672) c:\progra~1\WINDOW~3\wmpband.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\SYSTEM32\BRSS01A.EXE c:\programme\AVIRA\ANTIVIR DESKTOP\AVGUARD.EXE d:\programme\Nero 8\Nero\Nero8\Nero BackItUp\NBService.exe c:\windows\SYSTEM32\NVSVC32.EXE c:\windows\SYSTEM32\PNKBSTRA.EXE . ************************************************************************** . Zeit der Fertigstellung: 2009-05-02 21:59 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-05-02 19:59 ComboFix2.txt 2009-05-02 19:29 Vor Suchlauf: 2.662.637.568 Bytes frei Nach Suchlauf: 2.736.685.056 Bytes frei Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4 282 --- E O F --- 2009-05-02 00:11 Hochladen war erfolgreich hoffe ihr könnt mir weiterhelfen Der Beitrag wurde von phaze2 bearbeitet: 02.05.2009, 21:03 |
|
|
02.05.2009, 21:07
Beitrag
#27
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Mach das was raman dir vorgeschlagen hatte, bitte.
Und wen ihr weiter gekommen seit, zwecks der MALWARE bekämfung, also eventuell dein Rechner Clean sein sollte, oder auch nicht, spiele bitte den Service Pack 3 auf auch SP3 gennant. Aber auch bein einer NEUINSTALLATION, kann man alles machen. Aber ich will den Proifis, nicht vorgreifen. Mache Bitte das was raman, dier geschreiben hatte. Catweazle Der Beitrag wurde von Catweazle bearbeitet: 02.05.2009, 21:10 -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
02.05.2009, 21:12
Beitrag
#28
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 18 Mitglied seit: 02.05.2009 Mitglieds-Nr.: 7.535 Betriebssystem: Windows XP SP2 Virenscanner: Antivir 2009 Firewall: Windows Firewall |
so wollte es doch raman haben, dachte ich. ich hätt die notepad dateien, aufs combofix ziehen sollen und anschließend, den
neuen report/log-datei ins forum posten sollen. das hab ich gemacht. also, das pop-up fenster sollte das uploaden des neuen logs bewirken, oder hab ich das falsch interpretiert?? @Catweazle also als das SP3 neu rauskam hatte ich es mal installiert gehabt, aber danach hatte ich nur probleme. bin nicht ins netz gekommen, alles wurde langsamer und hab dann ne systemwiederherstellung gemacht. Der Beitrag wurde von phaze2 bearbeitet: 02.05.2009, 21:25 |
|
|
02.05.2009, 21:24
Beitrag
#29
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
phaze2, das was du gemacht hast war richtig. Das Rootkit ist nun weg.
Du hast noch 2 Dateien im Quarantaene Ordner: C:\Qoobox\Quarantine\C\WINDOWS\38896.exe.vir C:\Qoobox\Quarantine\C\WINDOWS\77338.exe.vir Die Dateien sind anscheinend recht gross. Koenntest du sie hier hochladen? http://www.bleepingcomputer.com/submit-mal....php?channel=49 Nutze bitte auch noch MBR.EXE: * Downloade die MBR.exe von Gmer http://www2.gmer.net/mbr/mbr.exe und * speichere es auf Deinem Desktop. * Mache einen Doppelklick auf das Programm, um es zu starten. * Wenn Dein Antiviren-Programm anschlägt, bitte ignorieren bzw. die Aktion zulassen. * Nun wirst Du ein Logfile auf Deinem Desktop namens mbr.log finden. * Poste mir den Inhalt dieser Logdatei hier in den Thread. -------------------- MfG Ralf
|
|
|
02.05.2009, 21:32
Beitrag
#30
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 18 Mitglied seit: 02.05.2009 Mitglieds-Nr.: 7.535 Betriebssystem: Windows XP SP2 Virenscanner: Antivir 2009 Firewall: Windows Firewall |
also die 38896.exe.vir kann ich als datei leider nicht hochladen, das es knapp über 7mb groß ist
die zweite datei hab ich gerade erflogreich hochgeladen. soll ich jetzt trotzdem mal mit mbr anfangen? |
|
|
02.05.2009, 21:33
Beitrag
#31
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Oh man, ich vergess immer die haelfte...
Koenntest du das auch noch hochladen? c:\windows\system32\kolubagu.exe c:\windows\system32\avira.exe Teste die beiden Dateien bitte auch bei www.virustotal.com Es kann sein, das du den Explorer so einstaellen musst, das du die Dateien sehen kannst: http://freenet-homepage.de/rene-gad/invisible.html Nachtrag: Ja, mbr Report bite auch posten. Dauert nur Sekunden... -------------------- MfG Ralf
|
|
|
02.05.2009, 21:37
Beitrag
#32
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Zu deiner hochgeladenen Datei!
77338.exe.vir Backdoor.Win32.mIRC-based Es waere nett, wenn du die anderen Dateien noch testen lassen koenntest, aber hier hilft wirkllich am besten den PC neu aufzusetzen, bzw das zeitnah zu machen. Wenn du die andere Datei durch "packen" verkleinerst, ist sie dann klein genug fuer den Upload? -------------------- MfG Ralf
|
|
|
02.05.2009, 21:46
Beitrag
#33
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
ich kann mir momentan nicht wirklich vorstellen das die ganze Malware über einen infizierten Fussball Stream gekommen ist , obwohl es vll. möglich wäre durch ungepatchten Browser und dann wurde alles nach und nach nachgeladen ?!
2009-02-14 01:58 . 2009-02-14 01:58 128025 ----a-w c:\windows\system32\avira.exe das hier ist vom letzten Monat . 2009-02-20 16:49 . 2007-12-20 19:08 78336 ----a-w c:\windows\system32\ieencode.dll das ist auch verdächtig. Der Beitrag wurde von Voyager bearbeitet: 02.05.2009, 21:48 -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
02.05.2009, 21:46
Beitrag
#34
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 18 Mitglied seit: 02.05.2009 Mitglieds-Nr.: 7.535 Betriebssystem: Windows XP SP2 Virenscanner: Antivir 2009 Firewall: Windows Firewall |
das ist mal von mbr:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.5 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully detected MBR rootkit hooks: \Driver\atapi -> 0x86cb1008 user & kernel MBR OK leider ist die datei immernoch zu groß. ich bekomm immernoch von antivir den virenbescheid TR/Dropper.gen c:\windows\system32\kolubagu.exe c:\windows\system32\avira.exe kann die beiden dateien nicht upload, da ich sie beim "durchsuchen" zum upload nicht funde, aber wenn ich sie so suche wie es mir beschrieben hab waren sie zu sehen und wurden als VenDu virus erkannt Der Beitrag wurde von phaze2 bearbeitet: 02.05.2009, 21:51 |
|
|
02.05.2009, 21:49
Beitrag
#35
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Dann lade bitte die anderen beiden Dateien hoch und poste dann ein neuen Antivir Report. Mal sehen, wo es was meldet...
-------------------- MfG Ralf
|
|
|
02.05.2009, 22:04
Beitrag
#36
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 18 Mitglied seit: 02.05.2009 Mitglieds-Nr.: 7.535 Betriebssystem: Windows XP SP2 Virenscanner: Antivir 2009 Firewall: Windows Firewall |
c:\windows\system32\kolubagu.exe
c:\windows\system32\avira.exe kann die beiden dateien nicht uploaden, da ich sie beim "durchsuchen" zum upload nicht finde, aber wenn ich sie so suche wie es mir beschrieben hab waren sie zu sehen und wurden als VenDu virus erkannt hab sie dann halt mal gelöscht, aber antivir läuft noch |
|
|
02.05.2009, 22:06
Beitrag
#37
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Der Link zu den Virustotal Ergebnissen waere hilfreich gewesen, aber auch kein grosses Problem...
-------------------- MfG Ralf
|
|
|
02.05.2009, 22:37
Beitrag
#38
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 18 Mitglied seit: 02.05.2009 Mitglieds-Nr.: 7.535 Betriebssystem: Windows XP SP2 Virenscanner: Antivir 2009 Firewall: Windows Firewall |
also hier mal der antivir-report:
Avira AntiVir Personal Erstellungsdatum der Reportdatei: Samstag, 2. Mai 2009 23:11 Es wird nach 1373854 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : Alkan Computername : BABYFACE Versionsinformationen: BUILD.DAT : 9.0.0.394 17962 Bytes 17.04.2009 11:13:00 AVSCAN.EXE : 9.0.3.5 466689 Bytes 02.05.2009 18:07:34 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 10:04:12 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 09:35:46 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 08:42:00 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:38 ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 18:33:28 ANTIVIR2.VDF : 7.1.3.137 1810944 Bytes 30.04.2009 18:07:34 ANTIVIR3.VDF : 7.1.3.141 21504 Bytes 02.05.2009 18:07:34 Engineversion : 8.2.0.160 AEVDF.DLL : 8.1.1.1 106868 Bytes 02.05.2009 18:07:34 AESCRIPT.DLL : 8.1.1.79 385403 Bytes 02.05.2009 18:07:34 AESCN.DLL : 8.1.1.10 127348 Bytes 02.05.2009 18:07:34 AERDL.DLL : 8.1.1.3 438645 Bytes 29.10.2008 16:24:42 AEPACK.DLL : 8.1.3.14 397685 Bytes 02.05.2009 18:07:34 AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 18:01:58 AEHEUR.DLL : 8.1.0.122 1737080 Bytes 02.05.2009 18:07:34 AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 18:01:58 AEGEN.DLL : 8.1.1.39 348532 Bytes 02.05.2009 18:07:34 AEEMU.DLL : 8.1.0.9 393588 Bytes 09.10.2008 12:32:40 AECORE.DLL : 8.1.6.9 176500 Bytes 02.05.2009 18:07:34 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 12:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 06:47:58 AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 09:39:56 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 12:34:30 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 13:25:06 AVARKT.DLL : 9.0.0.3 292609 Bytes 02.05.2009 18:07:34 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 08:37:06 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 13:03:50 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 06:21:30 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 13:41:22 RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09.02.2009 09:41:18 RCTEXT.DLL : 9.0.37.0 87809 Bytes 02.05.2009 18:07:34 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Manuelle Auswahl Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: aus Archiv Smart Extensions...............: ein Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Samstag, 2. Mai 2009 23:11 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NVSVC32.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'StickyNote.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVGNT.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BRSS01A.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht Es wurden '29' Prozesse mit '29' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '50' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\WINDOWS\system32\drivers\atapi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Programme\Trend Micro\HijackThis\backups\backup-20090502-172635-358.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen C:\Programme\Trend Micro\HijackThis\backups\backup-20090502-194557-986.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001149.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001150.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001156.EXE [FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001218.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001220.exe [FUND] Ist das Trojanische Pferd TR/Vundo.Gen C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001221.exe [0] Archivtyp: RAR SFX (self extracting) --> 32788R22FWJFW\psexec.cfexe [1] Archivtyp: RSRC --> Object [FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E C:\Qoobox\Quarantine\[4]-Submit_2009-05-02_21.53.16.zip [0] Archivtyp: ZIP --> Collect_ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys.vir [FUND] Ist das Trojanische Pferd TR/Dropper.Gen --> Collect_ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen --> Collect_ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen --> Collect_ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen --> Collect_ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen --> Collect_ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen --> Collect_ovfsthvrpuxvkolxetcjftyjiqqwyrmtbtbcle.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen C:\Qoobox\Quarantine\C\WINDOWS\system32\_ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou_.dll.zip [0] Archivtyp: ZIP --> ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen C:\Qoobox\Quarantine\C\WINDOWS\system32\_ovfsthfdktnwkipyppsturcvbvstvsievirnbc_.dll.zip [0] Archivtyp: ZIP --> ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll.vir [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll.vir [FUND] Ist das Trojanische Pferd TR/Trash.Gen C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys.vir [FUND] Ist das Trojanische Pferd TR/Dropper.Gen C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy_.sys.zip [0] Archivtyp: ZIP --> ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys [FUND] Ist das Trojanische Pferd TR/Dropper.Gen --> ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys.1 [FUND] Ist das Trojanische Pferd TR/Trash.Gen Beginne mit der Desinfektion: C:\Programme\Trend Micro\HijackThis\backups\backup-20090502-172635-358.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5fbb5c.qua' verschoben! C:\Programme\Trend Micro\HijackThis\backups\backup-20090502-194557-986.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5fbb5d.qua' verschoben! C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001149.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a2cbb2c.qua' verschoben! C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001150.dll [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b5aca75.qua' verschoben! C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001156.EXE [FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b55339d.qua' verschoben! C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001218.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b59d2bd.qua' verschoben! C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001220.exe [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b543bc5.qua' verschoben! C:\System Volume Information\_restore{F2E7B238-EB79-4DC5-AF5B-B5F5D4726E5A}\RP2\A0001221.exe [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4935349d.qua' verschoben! C:\Qoobox\Quarantine\[4]-Submit_2009-05-02_21.53.16.zip [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a59bb30.qua' verschoben! C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthbuulkdmterpbqvxoyibbrewjbphhkdsn.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a62bb72.qua' verschoben! C:\Qoobox\Quarantine\C\WINDOWS\system32\_ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou_.dll.zip [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a72bb6b.qua' verschoben! C:\Qoobox\Quarantine\C\WINDOWS\system32\_ovfsthfdktnwkipyppsturcvbvstvsievirnbc_.dll.zip [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e226754.qua' verschoben! C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthoqbjuohtanqitlxpoareifggsflqrspw.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49792433.qua' verschoben! C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthsbvsppbavnxtqxghpymdbblqjpwupeom.dll.vir [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497e1c7b.qua' verschoben! C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthcvivtsixlnfjixtfhxnmbpfulbmtpeou.dll.vir [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497f15a3.qua' verschoben! C:\Qoobox\Quarantine\C\WINDOWS\system32\ovfsthfdktnwkipyppsturcvbvstvsievirnbc.dll.vir [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497c0deb.qua' verschoben! C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy.sys.vir [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49427d5b.qua' verschoben! C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_ovfsthpfmeqrdhbaqpqdmcmladrofymjxnvvmy_.sys.zip [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4953769c.qua' verschoben! Ende des Suchlaufs: Samstag, 2. Mai 2009 23:28 Benötigte Zeit: 16:49 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6073 Verzeichnisse wurden überprüft 229122 Dateien wurden geprüft 25 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 18 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 3 Dateien konnten nicht durchsucht werden 229094 Dateien ohne Befall 1581 Archive wurden durchsucht 3 Warnungen 19 Hinweise Ergänzung von mir: Die Datei 'C:\Dokumente und Einstellungen\Alkan\Desktop\ComboFix.exe' enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a69b704.qua' verschoben Die Datei 'C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DGUYQANV\lsp[1].exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a6cb708.qua' verschoben! und die beiden dateien konnte ich nicht hochladen, wie gesagt weil ich sie beim durchsuchen nicht gefunden hab, sondern nur durch start/suchen finden konnte und anders wurden sie mir nicht angezeigt. c:\windows\system32\kolubagu.exe c:\windows\system32\avira.exe also am besten sollt ich, den rechner formartieren und winwods neu draufsetzen. meine letzte frage lautet: wenn meine c partition von viren befallen ist, sind meine anderen partitionen auf der selben platte auch betroffen? oder kann ich getrost format c: machen und habe meine back up dateien auf den anderen partitionen? ich danke euch für eure hilfe, aber heut ist mal genug fü+r mich. hab shcon ziemliches kopfweh bekommen. werd mich mal morgen eventuell melden. einen schönen abend euch noch. mfg alkan |
|
|
03.05.2009, 07:38
Beitrag
#39
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 5.344 Mitglied seit: 02.04.2005 Wohnort: Localhost Mitglieds-Nr.: 2.320 Betriebssystem: W10 [x64] Virenscanner: EAM Firewall: EAM |
edit:
Ralf hast Recht, ich war noch nicht ganz wach Der Beitrag wurde von Kenshiro bearbeitet: 03.05.2009, 08:55 -------------------- Dr. Web' s Updates List
Dr. Web' s Virusbibliothek Dr. Web´s History "Kenshi" sagt sayonara Wer lächelt statt zu toben, ist immer der Stärkere. [japan. Sprichwort] Das Internet ist ein gefährlicher Ort, und Windows-Nutzer wissen, dass man eine Rüstung tragen sollte. Apple-Nutzer tragen stattdessen Hawaii-Hemden." [Jewgenij Kaspersky] Ubuntu Beryl Matrix 3D Desktop |
|
|
03.05.2009, 08:03
Beitrag
#40
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Neu aufsetzen ist in diesem Fall wirklich das beste, sauberste und im endeffekt sogar das schnellste. Die Daten auf den anderen Partitionnen sollten bei dieser Art Infektion nicht betroffen sein. Auch wenn, wuerde diese erst wieder aktiv, wenn du die verseuchten Dateien starten wuerdest.
Eine "Anleitung" fuer das neu Aufsetzen findest du u.a. hier: http://www.rokop-security.de/index.php?showtopic=17495 wichtig ist das installieren des SP3, bevor du das erste mal ins Internet verbindest. Kenshiro, warum sollte er die Serno. weg lassen, ist eh die Free Version von Avira... Nachtrag: Passworte solltest du ebenfalls alle aendern! -------------------- MfG Ralf
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 14.05.2024, 05:51 |