javamaniac
New member
Hi, ich wurde leider auch Opfer des virtumonde Trojaners. Während des Scans mit Spybot erhielt ich die Meldung über den Trojaner udn hab das LAN Kabel gleich mal ausgesteckt.
Spybot nach dem Reboot laufen lassen und scheinbar alles ok. Dennoch beunruhigt durch die Einträge hier im Forum hab ich die ComboFix und HiJackThis logs erstellt und angehängt.
ComboFix hat auch gleich einiges entfernt, dennoch bin ich mir bei ein paar DLL's im log von CombocFix fast sicher, dass virtumonde noch immer da ist... oder was andres, denn scheinbar ist die WINLOGON.EXE infiziert?!?!
Könnte mal jemand freundlicherweise die logs analysieren?
lg
javamaniac
ComboFix Log
ComboFix 08-11-12.02 - Fritz 2008-11-14 16:49:29.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.432 [GMT 1:00]
ausgeführt von:: d:\temp\bin\ComboFix.exe
Benutzte Befehlsschalter :: d:\temp\bin\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\programme\screensavers.com
c:\programme\screensavers.com\Wallpaper\Dharma and Greg.jpg
c:\windows\Downloaded Program Files\setup.inf
c:\windows\system32\dzgtactx.dll
c:\windows\system32\winlogon.exe . . . ist infiziert!!
.
((((((((((((((((((((((( Dateien erstellt von 2008-10-14 bis 2008-11-14 ))))))))))))))))))))))))))))))
.
2008-11-11 16:46 . 2008-11-11 16:47 69 --a------ c:\windows\asciiart.ini
2008-11-11 16:42 . 2008-11-11 16:46 <DIR> d-------- c:\programme\ASCII Art - Machine
2008-10-26 18:30 . 2008-10-26 18:30 <DIR> d-------- c:\dokumente und einstellungen\Fritz\Anwendungsdaten\MyOddWeb
2008-10-26 18:29 . 2008-10-26 18:29 <DIR> d-------- c:\programme\MyOddWeb
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-14 05:58 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-11-13 14:10 --------- d-----w c:\programme\IEPro
2008-11-04 20:19 --------- dc----w c:\programme\ABBYY FineReader 5.0 Sprint
2008-10-24 11:07 --------- d-----w c:\programme\PicLensIE
2008-10-18 22:27 --------- d-----w c:\dokumente und einstellungen\ServiceTest\Anwendungsdaten\OpenOffice.org2
2008-10-15 08:34 --------- d-----w c:\dokumente und einstellungen\Fritz\Anwendungsdaten\Free Download Manager
2008-10-13 17:33 --------- d-----w c:\dokumente und einstellungen\Fritz\Anwendungsdaten\PC Suite
2008-09-24 07:54 --------- d-----w c:\dokumente und einstellungen\Fritz\Anwendungsdaten\vlc
2008-09-21 12:17 --------- d-----w c:\dokumente und einstellungen\Fritz\Anwendungsdaten\IrfanView
2008-09-21 11:43 --------- d-----w c:\programme\wxDownload Fast
2008-09-21 11:43 --------- d-----w c:\programme\WGET
2008-09-21 11:43 --------- d-----w c:\programme\WackGet
2008-09-21 06:07 --------- d-----w c:\programme\IrfanView
2008-09-02 11:22 80,720 ----a-w c:\dokumente und einstellungen\Fritz\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-03-13 21:48 76,936 ----a-w c:\dokumente und einstellungen\ServiceTest\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-09-13 05:21 2,567,672 ----a-w c:\programme\Wimpy FLV Player.exe
2005-05-21 21:58 45,880 ----a-w c:\dokumente und einstellungen\Game\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2003-12-31 22:00 27 --s-a-w c:\programme\File Viewer.lnk
2007-05-22 17:14 8,784 ----a-w c:\programme\mozilla firefox\plugins\ractrlkeyhook.dll
2007-05-22 17:17 245,408 ----a-w c:\programme\mozilla firefox\plugins\unicows.dll
2005-03-24 21:24 56 --sh--r c:\windows\system32\21B3FC45C4.sys
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2006-01-04 21:31 6,580 --sha-w c:\windows\system32\KGyGaAvL.sys
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"LClock"="c:\programme\LClock\lclock.exe" [2004-09-19 65536]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CoolSwitch"="c:\windows\System32\taskswitch.exe" [2002-03-19 45632]
"DAEMON Tools-1033"="c:\programme\D-Tools\daemon.exe" [2004-03-12 81920]
"DiskeeperSystray"="c:\programme\Executive Software\Diskeeper\DkIcon.exe" [2005-07-26 184408]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-21 266497]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-05-19 1106344]
"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-05-19 1848150]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-05-19 126976]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]
c:\dokumente und einstellungen\ServiceTest\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk.disabled [2008-08-13 853]
c:\dokumente und einstellungen\Fritz\Startmen\Programme\Autostart\
pocsim3dII update checker.lnk.disabled [2008-11-04 703]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.exe.lnk.disabled [2008-06-16 900]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="%windir%\\Resources\\LogonUI\\butterfly\\logonui.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2007-11-15 18:46 87352 c:\windows\system32\LMIinit.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msacm.l3acm"= l3codecp.acm
"VIDC.DIV4"= divxc32f.dll
"VIDC.DIV3"= divxc32.dll
"MSACM.DIVXA32"= divxa32.acm
"MSACM.CEGSM"= mobilev.acm
"VIDC.PIM1"= pclepim1.dll
"VIDC.MJPG"= Pvmjpg21.dll
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="c:\programme\Adobe\Acrobat7\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
"TorCP"=c:\programme\TorCP\torcp.exe
"Mobipocket Reader Notifications"=c:\programme\Mobipocket.com\Mobipocket Reader\readernotify.exe
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\WCESCOMM.EXE"
"Free Uploader Oe Integration"=c:\programme\Free Download Manager\FUM\fumoei.exe
"Free Download Manager"=c:\programme\Free Download Manager\fdm.exe -autorun
"eToken SSO"=c:\programme\Aladdin\eToken\SimpleSignOn\SSO.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"MaxtorOneTouch"=c:\progra~1\Maxtor\OneTouch\Utils\OneTouch.exe
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\point32.exe"
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe"
"RegKillTray"="c:\programme\DVDRegionKiller\RegKillTray.exe"
"RegKillElbyCheck"="c:\programme\DVDRegionKiller\ElbyCheck.exe" /L RegKill
"pdfFactory Pro Dispatcher v1"=c:\windows\System32\spool\DRIVERS\W32X86\2\fppdis1.exe
"PCSuiteTrayApplication"=c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"eTCoreManager"="c:\programme\Gemeinsame Dateien\Aladdin Shared\eToken\etCoreMgr.exe"
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"EPSON Stylus Photo RX600"=c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0M2.EXE /P24 "EPSON Stylus Photo RX600" /O6 "USB001" /M "Stylus Photo RX600"
"LogMeIn GUI"="c:\programme\LogMeIn\x86\LogMeInSystray.exe"
"MXO Auto Loader"=c:\windows\MXOALDR.EXE
"UMonit"=c:\windows\system32\umonit.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"c:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"=
"c:\\Programme\\MicrosoftOffice\\Office10\\FRONTPG.EXE"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"c:\\Programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Dokumente und Einstellungen\\Fritz\\Anwendungsdaten\\Juniper Networks\\Juniper Terminal Services Client\\dsTermServ.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Dokumente und Einstellungen\\ServiceTest\\Anwendungsdaten\\Juniper Networks\\Juniper Terminal Services Client\\dsTermServ.exe"=
"c:\\Programme\\Opera\\Opera.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\poc\\pocsim3dii\\POC3DSimII.exe"=
"c:\\Programme\\poc\\pocxxl\\bin\\pocxxl.exe"=
"c:\\Programme\\RealVNC\\VNC4\\vncviewer.exe"=
"c:\\Programme\\IEPro\\MiniDM.exe"=
"c:\\Dokumente und Einstellungen\\Fritz\\Desktop\\vncviewer.exe"=
"c:\\Programme\\MyOddWeb\\Courseplanner\\FarConnect.exe"=
R0 d346bus;d346bus;c:\windows\system32\DRIVERS\d346bus.sys [2004-03-12 156800]
R0 d346prt;d346prt;c:\windows\system32\Drivers\d346prt.sys [2004-03-12 5248]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [2007-04-05 46112]
R2 SLEE_81_DRIVER;Steganos Live Encryption Engine 8.1 [Driver];c:\windows\system32\drivers\SLEE81.sys [2004-11-19 09:28 69632]
R3 eTSCFLT;eToken SmartCard Upper Class Filter Driver;c:\windows\system32\DRIVERS\eTSCFLT.sys [2006-11-27 12720]
R3 RegKill;RegKill;c:\windows\system32\Drivers\RegKill.sys [2002-11-27 6400]
S2 LMIInfo;LogMeIn Kernel Information Provider;c:\programme\LogMeIn\x86\RaInfo.sys [ ]
S2 TSKNF400.SYS;TSKNF400.SYS;c:\windows\System32\Drivers\TSKNF400.SYS [ ]
S3 AKSUP;AKSUP;c:\windows\system32\drivers\aksup.sys [2006-11-27 33712]
S3 fixustor;fixustor;c:\windows\system32\drivers\fixustor.sys [2003-11-27 6016]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2005-08-02 32512]
S3 oflpydin;oflpydin;c:\dokume~1\Fritz\LOKALE~1\Temp\oflpydin.sys [ ]
S3 SndTDriverV32;SndTDriverV32;c:\windows\system32\drivers\SndTDriverV32.sys [2007-07-19 513152]
S3 tvtool;tvtool;c:\programme\TVTool 5.5\tvtool.sys [1996-04-03 5248]
S3 XLoader;PLEXTOR EZ-USB FX2 FIRMWARE LOADER (XLoader.sys);c:\windows\system32\Drivers\XLoader.sys [2004-11-26 13696]
S4 Janad;Jana Server 2;c:\programme\Jana2\Janad.exe [2006-10-09 822272]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6e42beb2-b756-11db-838d-004f4e11af29}]
\Shell\AutoRun\command - I:\StartPortableApps.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81bdd9f2-aaad-11dd-8e2e-001583bb4a8f}]
\Shell\AutoRun\command - H:\StartPortableApps.exe
.
Inhalt des "geplante Tasks" Ordners
2008-11-14 c:\windows\Tasks\User_Feed_Synchronization-{308051EC-C1D9-4976-8E0F-565795E7DF93}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 17:36]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKCU-Run-Pop-Up-Blocker - (no file)
HKCU-Run-TransparentIcons - (no file)
HKCU-Run-BlockAds - (no file)
HKCU-Run-Tweak-XP - (no file)
Notify-cbXppoNE - cbXppoNE.dll
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Fritz\Anwendungsdaten\Mozilla\Firefox\Profiles\l1y1frza.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://wetter.orf.at/wie/reportdetail?tmp=3969
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npracplug.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npRACtrl.dll
FF -: plugin - c:\programme\Real\RealArcade\Plugins\Mozilla\npracplug.dll
FF -: plugin - c:\programme\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - c:\programme\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - c:\programme\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - c:\programme\Virtools\3D Life Player\npvirtools.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-14 16:55:08
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
Prozess: c:\windows\explorer.exe
-> c:\windows\system32\nview.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\scardsvr.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\IVT Corporation\BlueSoleil\BTNtService.exe
c:\windows\system32\Crypserv.exe
c:\programme\Executive Software\Diskeeper\DkService.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\slee81.exe
c:\programme\Windows Media Player\wmpnetwk.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-14 17:01:57 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-14 16:01:51
Vor Suchlauf: 8.724.836.352 Bytes frei
Nach Suchlauf: 8,660,709,376 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
222
HiJackThis Log (Nach ComboFix Lauf erstellt)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:27:06, on 14.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\SLEE81.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\LClock\lclock.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\WINCMD\WINCMD32.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\fafa.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zamg.ac.at/wetter/prognose/wien/?
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://webmail.schoeller.at
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.orf.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F1 - win.ini: run=C:\windows\sservices.exe
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: Cooliris Plug-In for Internet Explorer - {EAEE5C74-6D0D-4aca-9232-0DA4A7B866BA} - C:\Programme\PicLensIE\cooliris.dll
O3 - Toolbar: Web Sign On - {46832FF5-95B5-4654-88F4-7F5F37AD1FC2} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [LClock] C:\Programme\LClock\lclock.exe
O4 - Startup: pocsim3dII update checker.lnk.disabled
O4 - Global Startup: Adobe Gamma Loader.exe.lnk.disabled
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\NetTransport2\NTAddList.html
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Mit Net Transport herunterladen - C:\Programme\NetTransport2\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Post to A Blog Is Born - http://abba.247street.net/menuext
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Programme\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Programme\IEPro\iepro.dll
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: (no name) - {1A69BF73-60DD-49b7-9251-F7A7D7070940} - (no file)
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Launch Cooliris - {3437D640-C91A-458f-89F5-B9095EA4C28B} - C:\Programme\PicLensIE\cooliris.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll
O15 - Trusted Zone: www.clubinfo.at
O15 - Trusted Zone: http://onlineforms.intronet.com
O15 - Trusted Zone: clubinfo.news.at
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/english/cyberstore/audiopack/xp_audio/ChkDVD.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1107597919046
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://194.177.131.230/activex/AMC.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://flukenetworks.webex.com/client/T25L/event/ieatgpc.cab
O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupControlXP Class) - https://webmail.schoeller.at/dana-cached/setup/JuniperSetupSP1.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe
--
End of file - 9915 bytes
vielen dank im voraus!
Spybot nach dem Reboot laufen lassen und scheinbar alles ok. Dennoch beunruhigt durch die Einträge hier im Forum hab ich die ComboFix und HiJackThis logs erstellt und angehängt.
ComboFix hat auch gleich einiges entfernt, dennoch bin ich mir bei ein paar DLL's im log von CombocFix fast sicher, dass virtumonde noch immer da ist... oder was andres, denn scheinbar ist die WINLOGON.EXE infiziert?!?!
Könnte mal jemand freundlicherweise die logs analysieren?
lg
javamaniac
ComboFix Log
ComboFix 08-11-12.02 - Fritz 2008-11-14 16:49:29.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.432 [GMT 1:00]
ausgeführt von:: d:\temp\bin\ComboFix.exe
Benutzte Befehlsschalter :: d:\temp\bin\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\programme\screensavers.com
c:\programme\screensavers.com\Wallpaper\Dharma and Greg.jpg
c:\windows\Downloaded Program Files\setup.inf
c:\windows\system32\dzgtactx.dll
c:\windows\system32\winlogon.exe . . . ist infiziert!!
.
((((((((((((((((((((((( Dateien erstellt von 2008-10-14 bis 2008-11-14 ))))))))))))))))))))))))))))))
.
2008-11-11 16:46 . 2008-11-11 16:47 69 --a------ c:\windows\asciiart.ini
2008-11-11 16:42 . 2008-11-11 16:46 <DIR> d-------- c:\programme\ASCII Art - Machine
2008-10-26 18:30 . 2008-10-26 18:30 <DIR> d-------- c:\dokumente und einstellungen\Fritz\Anwendungsdaten\MyOddWeb
2008-10-26 18:29 . 2008-10-26 18:29 <DIR> d-------- c:\programme\MyOddWeb
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-14 05:58 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-11-13 14:10 --------- d-----w c:\programme\IEPro
2008-11-04 20:19 --------- dc----w c:\programme\ABBYY FineReader 5.0 Sprint
2008-10-24 11:07 --------- d-----w c:\programme\PicLensIE
2008-10-18 22:27 --------- d-----w c:\dokumente und einstellungen\ServiceTest\Anwendungsdaten\OpenOffice.org2
2008-10-15 08:34 --------- d-----w c:\dokumente und einstellungen\Fritz\Anwendungsdaten\Free Download Manager
2008-10-13 17:33 --------- d-----w c:\dokumente und einstellungen\Fritz\Anwendungsdaten\PC Suite
2008-09-24 07:54 --------- d-----w c:\dokumente und einstellungen\Fritz\Anwendungsdaten\vlc
2008-09-21 12:17 --------- d-----w c:\dokumente und einstellungen\Fritz\Anwendungsdaten\IrfanView
2008-09-21 11:43 --------- d-----w c:\programme\wxDownload Fast
2008-09-21 11:43 --------- d-----w c:\programme\WGET
2008-09-21 11:43 --------- d-----w c:\programme\WackGet
2008-09-21 06:07 --------- d-----w c:\programme\IrfanView
2008-09-02 11:22 80,720 ----a-w c:\dokumente und einstellungen\Fritz\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-03-13 21:48 76,936 ----a-w c:\dokumente und einstellungen\ServiceTest\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-09-13 05:21 2,567,672 ----a-w c:\programme\Wimpy FLV Player.exe
2005-05-21 21:58 45,880 ----a-w c:\dokumente und einstellungen\Game\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2003-12-31 22:00 27 --s-a-w c:\programme\File Viewer.lnk
2007-05-22 17:14 8,784 ----a-w c:\programme\mozilla firefox\plugins\ractrlkeyhook.dll
2007-05-22 17:17 245,408 ----a-w c:\programme\mozilla firefox\plugins\unicows.dll
2005-03-24 21:24 56 --sh--r c:\windows\system32\21B3FC45C4.sys
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2006-01-04 21:31 6,580 --sha-w c:\windows\system32\KGyGaAvL.sys
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"LClock"="c:\programme\LClock\lclock.exe" [2004-09-19 65536]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CoolSwitch"="c:\windows\System32\taskswitch.exe" [2002-03-19 45632]
"DAEMON Tools-1033"="c:\programme\D-Tools\daemon.exe" [2004-03-12 81920]
"DiskeeperSystray"="c:\programme\Executive Software\Diskeeper\DkIcon.exe" [2005-07-26 184408]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-21 266497]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-05-19 1106344]
"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-05-19 1848150]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2006-05-19 126976]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]
c:\dokumente und einstellungen\ServiceTest\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk.disabled [2008-08-13 853]
c:\dokumente und einstellungen\Fritz\Startmen\Programme\Autostart\
pocsim3dII update checker.lnk.disabled [2008-11-04 703]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.exe.lnk.disabled [2008-06-16 900]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="%windir%\\Resources\\LogonUI\\butterfly\\logonui.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2007-11-15 18:46 87352 c:\windows\system32\LMIinit.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msacm.l3acm"= l3codecp.acm
"VIDC.DIV4"= divxc32f.dll
"VIDC.DIV3"= divxc32.dll
"MSACM.DIVXA32"= divxa32.acm
"MSACM.CEGSM"= mobilev.acm
"VIDC.PIM1"= pclepim1.dll
"VIDC.MJPG"= Pvmjpg21.dll
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="c:\programme\Adobe\Acrobat7\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
"TorCP"=c:\programme\TorCP\torcp.exe
"Mobipocket Reader Notifications"=c:\programme\Mobipocket.com\Mobipocket Reader\readernotify.exe
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\WCESCOMM.EXE"
"Free Uploader Oe Integration"=c:\programme\Free Download Manager\FUM\fumoei.exe
"Free Download Manager"=c:\programme\Free Download Manager\fdm.exe -autorun
"eToken SSO"=c:\programme\Aladdin\eToken\SimpleSignOn\SSO.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"MaxtorOneTouch"=c:\progra~1\Maxtor\OneTouch\Utils\OneTouch.exe
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"IntelliPoint"="c:\programme\Microsoft IntelliPoint\point32.exe"
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe"
"RegKillTray"="c:\programme\DVDRegionKiller\RegKillTray.exe"
"RegKillElbyCheck"="c:\programme\DVDRegionKiller\ElbyCheck.exe" /L RegKill
"pdfFactory Pro Dispatcher v1"=c:\windows\System32\spool\DRIVERS\W32X86\2\fppdis1.exe
"PCSuiteTrayApplication"=c:\programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe
"eTCoreManager"="c:\programme\Gemeinsame Dateien\Aladdin Shared\eToken\etCoreMgr.exe"
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"EPSON Stylus Photo RX600"=c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I0M2.EXE /P24 "EPSON Stylus Photo RX600" /O6 "USB001" /M "Stylus Photo RX600"
"LogMeIn GUI"="c:\programme\LogMeIn\x86\LogMeInSystray.exe"
"MXO Auto Loader"=c:\windows\MXOALDR.EXE
"UMonit"=c:\windows\system32\umonit.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"c:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"=
"c:\\Programme\\MicrosoftOffice\\Office10\\FRONTPG.EXE"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"c:\\Programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Dokumente und Einstellungen\\Fritz\\Anwendungsdaten\\Juniper Networks\\Juniper Terminal Services Client\\dsTermServ.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Dokumente und Einstellungen\\ServiceTest\\Anwendungsdaten\\Juniper Networks\\Juniper Terminal Services Client\\dsTermServ.exe"=
"c:\\Programme\\Opera\\Opera.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\poc\\pocsim3dii\\POC3DSimII.exe"=
"c:\\Programme\\poc\\pocxxl\\bin\\pocxxl.exe"=
"c:\\Programme\\RealVNC\\VNC4\\vncviewer.exe"=
"c:\\Programme\\IEPro\\MiniDM.exe"=
"c:\\Dokumente und Einstellungen\\Fritz\\Desktop\\vncviewer.exe"=
"c:\\Programme\\MyOddWeb\\Courseplanner\\FarConnect.exe"=
R0 d346bus;d346bus;c:\windows\system32\DRIVERS\d346bus.sys [2004-03-12 156800]
R0 d346prt;d346prt;c:\windows\system32\Drivers\d346prt.sys [2004-03-12 5248]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [2007-04-05 46112]
R2 SLEE_81_DRIVER;Steganos Live Encryption Engine 8.1 [Driver];c:\windows\system32\drivers\SLEE81.sys [2004-11-19 09:28 69632]
R3 eTSCFLT;eToken SmartCard Upper Class Filter Driver;c:\windows\system32\DRIVERS\eTSCFLT.sys [2006-11-27 12720]
R3 RegKill;RegKill;c:\windows\system32\Drivers\RegKill.sys [2002-11-27 6400]
S2 LMIInfo;LogMeIn Kernel Information Provider;c:\programme\LogMeIn\x86\RaInfo.sys [ ]
S2 TSKNF400.SYS;TSKNF400.SYS;c:\windows\System32\Drivers\TSKNF400.SYS [ ]
S3 AKSUP;AKSUP;c:\windows\system32\drivers\aksup.sys [2006-11-27 33712]
S3 fixustor;fixustor;c:\windows\system32\drivers\fixustor.sys [2003-11-27 6016]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2005-08-02 32512]
S3 oflpydin;oflpydin;c:\dokume~1\Fritz\LOKALE~1\Temp\oflpydin.sys [ ]
S3 SndTDriverV32;SndTDriverV32;c:\windows\system32\drivers\SndTDriverV32.sys [2007-07-19 513152]
S3 tvtool;tvtool;c:\programme\TVTool 5.5\tvtool.sys [1996-04-03 5248]
S3 XLoader;PLEXTOR EZ-USB FX2 FIRMWARE LOADER (XLoader.sys);c:\windows\system32\Drivers\XLoader.sys [2004-11-26 13696]
S4 Janad;Jana Server 2;c:\programme\Jana2\Janad.exe [2006-10-09 822272]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6e42beb2-b756-11db-838d-004f4e11af29}]
\Shell\AutoRun\command - I:\StartPortableApps.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81bdd9f2-aaad-11dd-8e2e-001583bb4a8f}]
\Shell\AutoRun\command - H:\StartPortableApps.exe
.
Inhalt des "geplante Tasks" Ordners
2008-11-14 c:\windows\Tasks\User_Feed_Synchronization-{308051EC-C1D9-4976-8E0F-565795E7DF93}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 17:36]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKCU-Run-Pop-Up-Blocker - (no file)
HKCU-Run-TransparentIcons - (no file)
HKCU-Run-BlockAds - (no file)
HKCU-Run-Tweak-XP - (no file)
Notify-cbXppoNE - cbXppoNE.dll
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Fritz\Anwendungsdaten\Mozilla\Firefox\Profiles\l1y1frza.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://wetter.orf.at/wie/reportdetail?tmp=3969
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npracplug.dll
FF -: plugin - c:\programme\Mozilla Firefox\plugins\npRACtrl.dll
FF -: plugin - c:\programme\Real\RealArcade\Plugins\Mozilla\npracplug.dll
FF -: plugin - c:\programme\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - c:\programme\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - c:\programme\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - c:\programme\Virtools\3D Life Player\npvirtools.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-14 16:55:08
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
Prozess: c:\windows\explorer.exe
-> c:\windows\system32\nview.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\scardsvr.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\IVT Corporation\BlueSoleil\BTNtService.exe
c:\windows\system32\Crypserv.exe
c:\programme\Executive Software\Diskeeper\DkService.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\slee81.exe
c:\programme\Windows Media Player\wmpnetwk.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-14 17:01:57 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-14 16:01:51
Vor Suchlauf: 8.724.836.352 Bytes frei
Nach Suchlauf: 8,660,709,376 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn
222
HiJackThis Log (Nach ComboFix Lauf erstellt)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:27:06, on 14.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\SLEE81.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\LClock\lclock.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\WINCMD\WINCMD32.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\fafa.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zamg.ac.at/wetter/prognose/wien/?
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://webmail.schoeller.at
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.orf.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F1 - win.ini: run=C:\windows\sservices.exe
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: Cooliris Plug-In for Internet Explorer - {EAEE5C74-6D0D-4aca-9232-0DA4A7B866BA} - C:\Programme\PicLensIE\cooliris.dll
O3 - Toolbar: Web Sign On - {46832FF5-95B5-4654-88F4-7F5F37AD1FC2} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [LClock] C:\Programme\LClock\lclock.exe
O4 - Startup: pocsim3dII update checker.lnk.disabled
O4 - Global Startup: Adobe Gamma Loader.exe.lnk.disabled
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\NetTransport2\NTAddList.html
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Mit Net Transport herunterladen - C:\Programme\NetTransport2\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Post to A Blog Is Born - http://abba.247street.net/menuext
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Programme\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Programme\IEPro\iepro.dll
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: (no name) - {1A69BF73-60DD-49b7-9251-F7A7D7070940} - (no file)
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Launch Cooliris - {3437D640-C91A-458f-89F5-B9095EA4C28B} - C:\Programme\PicLensIE\cooliris.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll
O15 - Trusted Zone: www.clubinfo.at
O15 - Trusted Zone: http://onlineforms.intronet.com
O15 - Trusted Zone: clubinfo.news.at
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/english/cyberstore/audiopack/xp_audio/ChkDVD.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1107597919046
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://194.177.131.230/activex/AMC.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://flukenetworks.webex.com/client/T25L/event/ieatgpc.cab
O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupControlXP Class) - https://webmail.schoeller.at/dana-cached/setup/JuniperSetupSP1.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe
--
End of file - 9915 bytes
vielen dank im voraus!