Angriff auf meinen PC - Paules-PC-Forum.de

31.12.2009, 15:51

Heyho ,
hab schon oben einiges gesehn was evtl. helfen könnte aber wollte nochmal explizit nachfragen :

Habe eben ganz standartmäßig meinen Computer hochgefahren und nun meldet das Security Center die ganze Zeit "High Risk" Programme die scheinbar meinen Computer angreifen. Am laufenden Band sprich nicht einzellne die ich hier nennen könnte.
Nun habe ich eigentlich Norton aber das stürzt nun ständig ab und wenn ich es neu installieren will macht es mir klar , dass das nicht funktionieren würde !
(Gerade kam Meldung von Backdoor.Win.Agent)

Was kann ich erstmal kostenlos dagegen tun ? gibt es Progs mit denen ich die Würmer jetzt noch runterwerfen kann ... oder muss ich neu aufspielen.

mfg

freefall

markusg · 31.12.2009, 16:03

Combofix
combofix laden, den abschnitt zum umbenennen beachten, ausführen, log posten.

31.12.2009, 16:39

ComboFix 09-12-30.04 - Panda 31.12.2009 16:23:31.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3327.2980 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Panda\Desktop\CF.exe.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\Panda\LOKALE~1\Temp\wscsvc32.exe
c:\programme\ICQ6.5\ICQLRun.exe
c:\programme\Malware Defense
c:\programme\Malware Defense\help.ico
c:\programme\Malware Defense\md.db
c:\programme\Malware Defense\mdefense.exe
c:\programme\Malware Defense\mdext.dll
c:\recycler\S-1-5-21-527237240-884357618-839522115-1004
c:\recycler\S-1-5-21-583907252-1035525444-839522115-1004
c:\recycler\S-1-5-21-583907252-1035525444-839522115-500
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32\_000007_.tmp.dll
c:\windows\system32\drivers\H8SRTmpppvjgoyj.sys
c:\windows\system32\H8SRTaoowowrpoi.dll
c:\windows\system32\H8SRTdspqdepqec.dll
c:\windows\system32\H8SRTrdtsdourxd.dat
c:\windows\system32\H8SRTwtfcntvdps.dll
c:\windows\system32\krl32mainweq.dll
c:\windows\system32\srcr.dat
c:\windows\system32\xml_inc.dll

Infizierte Kopie von c:\windows\system32\dfrgfat.exe wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\dfrgfat.exe wurde wiederhergestellt

Infizierte Kopie von c:\windows\system32\dfrgntfs.exe wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\dfrgntfs.exe wurde wiederhergestellt

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_H8SRTd.sys
-------\Legacy_H8SRTd.sys

((((((((((((((((((((((( Dateien erstellt von 2009-11-28 bis 2009-12-31 ))))))))))))))))))))))))))))))
.

2009-12-12 00:23 . 2009-12-02 14:35 755200 ----a-w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\Octoshape\Octoshape Streaming Services\pmv3052a-0912021-0-libOctoshapeClient.dll
2009-12-11 21:42 . 2009-12-11 21:42 272384 ----a-w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\Acreon\WowMatrix\Modules\curl.exe
2009-12-11 21:42 . 2009-12-11 21:42 196608 ----a-w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\Acreon\WowMatrix\Libraries\wmweb.dll
2009-12-11 21:42 . 2009-12-11 21:42 258048 ----a-w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\Acreon\WowMatrix\Libraries\wmzip.dll
2009-12-11 21:41 . 2009-12-11 21:41 -------- d-----w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\Acreon
2009-12-11 21:41 . 2009-12-14 20:29 -------- d-----w- c:\dokumente und einstellungen\Panda\Lokale Einstellungen\Anwendungsdaten\._Revolution_
2009-12-06 17:28 . 2009-12-06 17:28 -------- d-----w- c:\programme\PKR

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-31 15:34 . 2009-08-03 22:34 -------- d-----w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\Skype
2009-12-31 15:32 . 2009-03-23 19:22 -------- d-----w- c:\programme\Steam
2009-12-31 15:29 . 2009-09-03 17:45 -------- d-----w- c:\programme\ICQ6.5
2009-12-31 15:23 . 2008-08-30 19:31 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared
2009-12-31 15:01 . 2009-08-03 22:38 -------- d-----w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\skypePM
2009-12-31 14:29 . 2008-08-30 19:31 -------- d-----w- c:\programme\Symantec
2009-12-31 14:29 . 2009-01-17 14:31 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec
2009-12-31 13:54 . 2009-06-12 01:45 -------- d-----w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\Xfire
2009-12-27 01:12 . 2009-04-10 00:23 -------- d-----w- c:\programme\DivX
2009-12-27 01:12 . 2009-04-10 00:23 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-12-27 01:08 . 2008-12-25 00:06 21168 ----a-w- c:\dokumente und einstellungen\Panda\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-23 13:38 . 2004-08-16 18:23 448800 ----a-w- c:\windows\system32\perfh007.dat
2009-12-23 13:38 . 2004-08-16 18:23 80108 ----a-w- c:\windows\system32\perfc007.dat
2009-12-22 02:03 . 2009-12-22 02:03 -------- d-----w- c:\programme\MSBuild
2009-12-22 02:03 . 2009-12-22 02:03 -------- d-----w- c:\programme\Reference Assemblies
2009-12-18 22:22 . 2009-04-10 00:23 -------- d-----w- c:\programme\Google
2009-12-18 16:12 . 2009-06-12 01:45 -------- d-----w- c:\programme\Xfire
2009-12-16 17:30 . 2009-05-25 16:27 1 ----a-w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\sta mp.sys
2009-12-11 18:19 . 2008-12-25 01:10 -------- d-----w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\teamspeak2
2009-12-02 16:49 . 2009-12-01 13:55 -------- d-----w- c:\programme\World of Warcraft
2009-12-01 19:32 . 2009-11-17 13:06 -------- d-----w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\Ventrilo
2009-11-30 21:38 . 2008-09-14 15:51 -------- d-----w- c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-11-30 19:33 . 2009-11-30 19:33 41872 ----a-w- c:\windows\system32\xfcodec.dll
2009-11-30 19:22 . 2008-12-25 01:02 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\WinZip
2009-11-30 16:53 . 2009-11-30 16:52 -------- d-----w- c:\programme\NVIDIA Corporation
2009-11-30 16:53 . 2009-02-02 08:08 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-11-30 16:53 . 2009-02-02 08:08 -------- d-----w- c:\programme\AGEIA Technologies
2009-11-30 16:52 . 2009-11-30 16:52 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NVIDIA Corporation
2009-11-20 19:32 . 2009-11-20 19:32 278120 ----a-w- c:\windows\system32\nvmccs.dll
2009-11-19 20:42 . 2009-02-02 08:06 592488 ----a-w- c:\windows\system32\NVUNINST.EXE
2009-11-17 13:06 . 2009-11-17 13:06 -------- d-----w- c:\programme\Ventrilo
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx07.dll
2009-11-14 00:47 . 2009-11-14 00:47 847872 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-11-14 00:47 . 2009-11-14 00:47 843776 ----a-w- c:\windows\system32\divx_xx16.dll
2009-11-14 00:47 . 2009-11-14 00:47 839680 ----a-w- c:\windows\system32\divx_xx11.dll
2009-11-14 00:47 . 2009-11-14 00:47 696320 ----a-w- c:\windows\system32\DivX.dll
2009-10-29 07:41 . 2004-08-16 18:30 832512 ----a-w- c:\windows\system32\wininet.dll
2009-10-29 07:40 . 2004-08-16 18:17 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-10-29 07:40 . 2004-08-16 18:15 17408 ----a-w- c:\windows\system32\corpol.dll
2009-10-21 05:38 . 2004-08-16 18:26 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2004-08-16 18:16 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-16 18:16 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:32 . 2004-08-16 18:22 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2004-08-16 18:23 150528 ----a-w- c:\windows\system32\rastls.dll
2009-10-12 13:38 . 2004-08-16 18:23 79872 ----a-w- c:\windows\system32\raschap.dll
.

------- Sigcheck -------

[7] 2008-04-14 . B0050CC5340E3A0760DD8B417FF7AEBD . 580096 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll
[7] 2008-04-14 . B0050CC5340E3A0760DD8B417FF7AEBD . 580096 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\95722b048b44feeb8b09afd7a4b3cf38\user32 .dll
[-] 2008-04-14 . B3D83514BB66E7A3E5D5738D0CA82640 . 580096 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
[7] 2004-08-16 . 56785FD5236D7B22CF471A6DA9DB46D8 . 578560 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\user32.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\programme\Winamp Toolbar\winamptb.dll" [2008-07-16 1266992]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="c:\programme\Steam\Steam.exe" [2009-10-24 1217808]
"Octoshape Streaming Services"="c:\dokumente und einstellungen\Panda\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2009-01-08 70936]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-07-16 25604904]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-11-16 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-03-21 16126464]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-03-21 1953792]
"VirtualDrive"="c:\programme\FarStone\VirtualDrive\VDTask.exe" [2007-06-27 159744]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-06-13 148888]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Panda\Startmen\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]
Xfire.lnk - c:\programme\Xfire\Xfire.exe [2009-11-30 3181456]

c:\dokumente und einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\
WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2009-6-24 525640]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\Authorize dApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\World of Warcraft Public Test\\Launcher.exe"=
"c:\\Dokumente und Einstellungen\\Panda\\Anwendungsdaten\\Macromedia\\Flash Player\\www.macromedia.com\\bin\\octoshape\\octoshape.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Steam\\steamapps\\bleakstare1987\\counter-strike source\\hl2.exe"=
"c:\\Dokumente und Einstellungen\\Panda\\Lokale Einstellungen\\Anwendungsdaten\\Dyyno Receiver\\DPPM.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\Xfire\\Xfire.exe"=
"c:\\Programme\\Dyyno\\Dyyno Broadcaster\\dgcsrv.exe"=
"c:\\Programme\\Dyyno\\Dyyno Broadcaster\\dppm_source.exe"=
"c:\\Dokumente und Einstellungen\\Panda\\Anwendungsdaten\\Octoshape\\Octoshape Streaming Services\\OctoshapeClient.exe"=
"c:\\Programme\\Ventrilo\\Ventrilo.exe"=
"c:\\World of Warcraft\\WoW-3.2.0-deDE-downloader.exe"=
"c:\\World of Warcraft\\Launcher.exe"=
"c:\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-enGB-downloader.exe"=
"c:\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"=
"c:\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe"=
"c:\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyO penPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [30.08.2008 21:15 222456]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [24.12.2008 22:44 38656]
S2 gupdate1c9b972843da4d4;Google Update Service (gupdate1c9b972843da4d4);c:\programme\Google\Update\GoogleUpdate.exe [10.04.2009 01:23 133104]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\cpustab\kerneld.wnt --> c:\cpustab\kerneld.wnt [?]
S3 FXDrv32;FXDrv32;\??\d:\fxdrv32.sys --> d:\FXDrv32.sys [?]
.
Inhalt des "geplante Tasks" Ordners

2009-12-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-10 00:23]

2009-12-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-10 00:23]

2009-12-31 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-29 20:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.focus.de/
IE: &Winamp Search - c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
FF - ProfilePath - c:\dokumente und einstellungen\Panda\Anwendungsdaten\Mozilla\Firefox\Profiles\7wi3iz44.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - component: c:\dokumente und einstellungen\Panda\Anwendungsdaten\Mozilla\Firefox\Profiles\7wi3iz44.default\ex tensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - plugin: c:\dokumente und einstellungen\Panda\Anwendungsdaten\Mozilla\Firefox\Profiles\7wi3iz44.default\ex tensions\NPDyyno@dyyno.com\plugins\npDyyno.dll
FF - plugin: c:\dokumente und einstellungen\Panda\Anwendungsdaten\Mozilla\plugins\npoctoshape.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Dyyno\Dyyno Player\npvlc.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{ee1babcf-cbe2-4c07-8e18-dfe6fc08c30a} - (no file)
HKCU-Run-Malware Defense - c:\programme\Malware Defense\mdefense.exe
HKLM-Run-nwiz - nwiz.exe
MSConfigStartUp-MS_MASTER - c:\windows\system32\xml_inc.dll
AddRemove-Malware Defense - c:\programme\Malware Defense\Uninstall.exe
AddRemove-NVIDIA Display Control Panel - c:\programme\NVIDIA Corporation\Uninstall\nvuninst.exe
AddRemove-Winamp Toolbar for Firefox - c:\dokumente und einstellungen\Panda\Anwendungsdaten\Mozilla\Firefox\Profiles\7wi3iz44.default\ex tensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\uninstall.exe

**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\cpustab\kerneld.wnt"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1064)
c:\programme\Xfire\xfire_toucan_40405.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-12-31 16:35:45 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-12-31 15:35

Vor Suchlauf: 12 Verzeichnis(se), 18.138.902.528 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 20.966.436.864 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /noexecute=optin

- - End Of File - - 900404A6EAB3410E2600A9E05CDFD8A5

markusg · 31.12.2009, 16:48

download tdss killer:
Viren und Lösungen
Bitte schalte alle laufenden Programme ab, trenne die Internetverbindung, in dem du das WLAN ausschaltest, bzw das netzwerkkabel ziehst, dann tdss killer laufen lassen, evtl. neustart zustimmen, log posten.
dann norton instalieren.

31.12.2009, 17:00

TDSS hat in keinem der durchsuchten Objekte Infizierte Parts gefunden.
Sprich überall stand 0.

Ich nehme an das ist kein schlechtes Zeichen ? ^^

markusg · 31.12.2009, 17:02

nein das ist gut.
download gmer:
GMER - Rootkit Detector and Remover
Bitte wieder alle programme ausschalten, internetverbindung trennen, starte gmer, aktiviere auf dem Tap rootkits alles. falls gmer während des scans rootkit modification findet, scan anhalten, internet ein, log posten, falls nicht durchlaufen lassen, dann das log posten.

31.12.2009, 17:58

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit scan 2009-12-31 17:52:57
Windows 5.1.2600 Service Pack 3
Running: el34v12c.exe; Driver: C:\DOKUME~1\Panda\LOKALE~1\Temp\pxtdypob.sys

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB7076380, 0x5414D5, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\Xfire\Xfire.exe[412] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 03A1BD2B C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] kernel32.dll!CreateThread 7C8106D7 5 Bytes JMP 03A1B6CF C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] GDI32.dll!BitBlt 77EF6F79 5 Bytes JMP 03A1B147 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!ReleaseDC 7E36869D 5 Bytes JMP 03A1B0AC C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!GetDC 7E3686C7 5 Bytes JMP 03A1B018 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!CreateDialogParamW 7E36EA3B 5 Bytes JMP 03A1B81A C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!SetForegroundWindow 7E3742ED 5 Bytes JMP 03A1B968 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 03A1B776 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!InvalidateRect 7E378FD5 5 Bytes JMP 03A1B28F C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!BeginPaint 7E378FE9 5 Bytes JMP 03A1AF84 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!GetCursorPos 7E37974E 5 Bytes JMP 03A1B463 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!WindowFromPoint 7E379766 5 Bytes JMP 03A1B4FB C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!RedrawWindow 7E379944 5 Bytes JMP 03A1B596 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!SetWindowPos 7E3799F3 5 Bytes JMP 03A1B8BE C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!IsWindowVisible 7E379E3D 7 Bytes JMP 03A1BAB9 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!SetFocus 7E37B112 5 Bytes JMP 03A1B1F7 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!SetCapture 7E37C35E 5 Bytes JMP 03A1B3CB C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!InvalidateRgn 7E37CDFE 5 Bytes JMP 03A1B32D C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 03A1BA00 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!RegisterClassA 7E37EA5E 5 Bytes JMP 03A1B637 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)
.text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!TrackPopupMenu 7E3B531E 5 Bytes JMP 03A1BC81 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.)

---- EOF - GMER 1.0.15 ----

markusg · 31.12.2009, 18:01

Sieht auch gut aus.
Download malwarebytes:
Malwarebytes.org

instalieren, updaten
Wieder alles abschalten, internetverbindung trennen, registerkarte scanner, alle laufwerke, full scan, funde löschen, log posten berichten wie der pc läuft.

31.12.2009, 19:10

Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3458
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

31.12.2009 19:09:27
mbam-log-2009-12-31 (19-09-27).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 324540
Laufzeit: 41 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 15

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Panda\Startmenü\Programme\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Qoobox\Quarantine\C\Programme\Malware Defense\mdefense.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Programme\Malware Defense\mdext.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\H8SRTmpppvjgoyj.sys.vir (Malware.Packer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{01D776C2-D3FD-4BF0-B752-484972456935}\RP197\A0056949.sys (Malware.Packer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{01D776C2-D3FD-4BF0-B752-484972456935}\RP197\A0056953.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{01D776C2-D3FD-4BF0-B752-484972456935}\RP197\A0057314.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{01D776C2-D3FD-4BF0-B752-484972456935}\RP197\A0057315.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Crem\Eigene Dateien\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Panda\Lokale Einstellungen\Temporary Internet Files\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2}\productinfo.dll (Adware.DoubleD) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Panda\Startmenü\Programme\malware Defense\Malware Defense Support.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Panda\Startmenü\Programme\malware Defense\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Panda\Startmenü\Programme\malware Defense\Uninstall Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Panda\Desktop\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Panda\Desktop\Malware Defense Support.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Panda\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

markusg · 31.12.2009, 19:15

Anleitung zum Löschen von Viren / Thread erstellen
poste das rsit log, achtung, eine Datei wird minimiert geöffnet werden, auch deren inhalt posten.

31.12.2009, 15:51	#1 (Direktlink)
Frefall Gast Beiträge: n/a	Angriff auf meinen PC Heyho , hab schon oben einiges gesehn was evtl. helfen könnte aber wollte nochmal explizit nachfragen : Habe eben ganz standartmäßig meinen Computer hochgefahren und nun meldet das Security Center die ganze Zeit "High Risk" Programme die scheinbar meinen Computer angreifen. Am laufenden Band sprich nicht einzellne die ich hier nennen könnte. Nun habe ich eigentlich Norton aber das stürzt nun ständig ab und wenn ich es neu installieren will macht es mir klar , dass das nicht funktionieren würde ! (Gerade kam Meldung von Backdoor.Win.Agent) Was kann ich erstmal kostenlos dagegen tun ? gibt es Progs mit denen ich die Würmer jetzt noch runterwerfen kann ... oder muss ich neu aufspielen. mfg freefall

31.12.2009, 16:03	#2 (Direktlink)
markusg Malware-Team Registriert seit: 30.03.2008 Alter: 25 Beiträge: 8.612	Combofix combofix laden, den abschnitt zum umbenennen beachten, ausführen, log posten. __________________ >>>Supporter des Jahres, jede stimme zählt.<<< http://twitter.com/markusg11 liebermann_frank@yahoo.de

31.12.2009, 16:48	#4 (Direktlink)
markusg Malware-Team Registriert seit: 30.03.2008 Alter: 25 Beiträge: 8.612	download tdss killer: Viren und Lösungen Bitte schalte alle laufenden Programme ab, trenne die Internetverbindung, in dem du das WLAN ausschaltest, bzw das netzwerkkabel ziehst, dann tdss killer laufen lassen, evtl. neustart zustimmen, log posten. dann norton instalieren. __________________ >>>Supporter des Jahres, jede stimme zählt.<<< http://twitter.com/markusg11 liebermann_frank@yahoo.de

31.12.2009, 17:02	#6 (Direktlink)
markusg Malware-Team Registriert seit: 30.03.2008 Alter: 25 Beiträge: 8.612	nein das ist gut. download gmer: GMER - Rootkit Detector and Remover Bitte wieder alle programme ausschalten, internetverbindung trennen, starte gmer, aktiviere auf dem Tap rootkits alles. falls gmer während des scans rootkit modification findet, scan anhalten, internet ein, log posten, falls nicht durchlaufen lassen, dann das log posten. __________________ >>>Supporter des Jahres, jede stimme zählt.<<< http://twitter.com/markusg11 liebermann_frank@yahoo.de

31.12.2009, 18:01	#8 (Direktlink)
markusg Malware-Team Registriert seit: 30.03.2008 Alter: 25 Beiträge: 8.612	Sieht auch gut aus. Download malwarebytes: Malwarebytes.org instalieren, updaten Wieder alles abschalten, internetverbindung trennen, registerkarte scanner, alle laufwerke, full scan, funde löschen, log posten berichten wie der pc läuft. __________________ >>>Supporter des Jahres, jede stimme zählt.<<< http://twitter.com/markusg11 liebermann_frank@yahoo.de

31.12.2009, 16:39	#3 (Direktlink)
Freefall Gast Beiträge: n/a	ComboFix 09-12-30.04 - Panda 31.12.2009 16:23:31.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3327.2980 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Panda\Desktop\CF.exe.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokume~1\Panda\LOKALE~1\Temp\wscsvc32.exe c:\programme\ICQ6.5\ICQLRun.exe c:\programme\Malware Defense c:\programme\Malware Defense\help.ico c:\programme\Malware Defense\md.db c:\programme\Malware Defense\mdefense.exe c:\programme\Malware Defense\mdext.dll c:\recycler\S-1-5-21-527237240-884357618-839522115-1004 c:\recycler\S-1-5-21-583907252-1035525444-839522115-1004 c:\recycler\S-1-5-21-583907252-1035525444-839522115-500 c:\windows\system32\_000006_.tmp.dll c:\windows\system32\_000007_.tmp.dll c:\windows\system32\drivers\H8SRTmpppvjgoyj.sys c:\windows\system32\H8SRTaoowowrpoi.dll c:\windows\system32\H8SRTdspqdepqec.dll c:\windows\system32\H8SRTrdtsdourxd.dat c:\windows\system32\H8SRTwtfcntvdps.dll c:\windows\system32\krl32mainweq.dll c:\windows\system32\srcr.dat c:\windows\system32\xml_inc.dll Infizierte Kopie von c:\windows\system32\dfrgfat.exe wurde gefunden und desinfiziert Kopie von - c:\windows\ServicePackFiles\i386\dfrgfat.exe wurde wiederhergestellt Infizierte Kopie von c:\windows\system32\dfrgntfs.exe wurde gefunden und desinfiziert Kopie von - c:\windows\ServicePackFiles\i386\dfrgntfs.exe wurde wiederhergestellt . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_H8SRTd.sys -------\Legacy_H8SRTd.sys ((((((((((((((((((((((( Dateien erstellt von 2009-11-28 bis 2009-12-31 )))))))))))))))))))))))))))))) . 2009-12-12 00:23 . 2009-12-02 14:35 755200 ----a-w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\Octoshape\Octoshape Streaming Services\pmv3052a-0912021-0-libOctoshapeClient.dll 2009-12-11 21:42 . 2009-12-11 21:42 272384 ----a-w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\Acreon\WowMatrix\Modules\curl.exe 2009-12-11 21:42 . 2009-12-11 21:42 196608 ----a-w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\Acreon\WowMatrix\Libraries\wmweb.dll 2009-12-11 21:42 . 2009-12-11 21:42 258048 ----a-w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\Acreon\WowMatrix\Libraries\wmzip.dll 2009-12-11 21:41 . 2009-12-11 21:41 -------- d-----w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\Acreon 2009-12-11 21:41 . 2009-12-14 20:29 -------- d-----w- c:\dokumente und einstellungen\Panda\Lokale Einstellungen\Anwendungsdaten\._Revolution_ 2009-12-06 17:28 . 2009-12-06 17:28 -------- d-----w- c:\programme\PKR . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-12-31 15:34 . 2009-08-03 22:34 -------- d-----w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\Skype 2009-12-31 15:32 . 2009-03-23 19:22 -------- d-----w- c:\programme\Steam 2009-12-31 15:29 . 2009-09-03 17:45 -------- d-----w- c:\programme\ICQ6.5 2009-12-31 15:23 . 2008-08-30 19:31 -------- d-----w- c:\programme\Gemeinsame Dateien\Symantec Shared 2009-12-31 15:01 . 2009-08-03 22:38 -------- d-----w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\skypePM 2009-12-31 14:29 . 2008-08-30 19:31 -------- d-----w- c:\programme\Symantec 2009-12-31 14:29 . 2009-01-17 14:31 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec 2009-12-31 13:54 . 2009-06-12 01:45 -------- d-----w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\Xfire 2009-12-27 01:12 . 2009-04-10 00:23 -------- d-----w- c:\programme\DivX 2009-12-27 01:12 . 2009-04-10 00:23 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared 2009-12-27 01:08 . 2008-12-25 00:06 21168 ----a-w- c:\dokumente und einstellungen\Panda\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-12-23 13:38 . 2004-08-16 18:23 448800 ----a-w- c:\windows\system32\perfh007.dat 2009-12-23 13:38 . 2004-08-16 18:23 80108 ----a-w- c:\windows\system32\perfc007.dat 2009-12-22 02:03 . 2009-12-22 02:03 -------- d-----w- c:\programme\MSBuild 2009-12-22 02:03 . 2009-12-22 02:03 -------- d-----w- c:\programme\Reference Assemblies 2009-12-18 22:22 . 2009-04-10 00:23 -------- d-----w- c:\programme\Google 2009-12-18 16:12 . 2009-06-12 01:45 -------- d-----w- c:\programme\Xfire 2009-12-16 17:30 . 2009-05-25 16:27 1 ----a-w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\sta mp.sys 2009-12-11 18:19 . 2008-12-25 01:10 -------- d-----w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\teamspeak2 2009-12-02 16:49 . 2009-12-01 13:55 -------- d-----w- c:\programme\World of Warcraft 2009-12-01 19:32 . 2009-11-17 13:06 -------- d-----w- c:\dokumente und einstellungen\Panda\Anwendungsdaten\Ventrilo 2009-11-30 21:38 . 2008-09-14 15:51 -------- d-----w- c:\programme\Gemeinsame Dateien\Blizzard Entertainment 2009-11-30 19:33 . 2009-11-30 19:33 41872 ----a-w- c:\windows\system32\xfcodec.dll 2009-11-30 19:22 . 2008-12-25 01:02 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\WinZip 2009-11-30 16:53 . 2009-11-30 16:52 -------- d-----w- c:\programme\NVIDIA Corporation 2009-11-30 16:53 . 2009-02-02 08:08 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-11-30 16:53 . 2009-02-02 08:08 -------- d-----w- c:\programme\AGEIA Technologies 2009-11-30 16:52 . 2009-11-30 16:52 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NVIDIA Corporation 2009-11-20 19:32 . 2009-11-20 19:32 278120 ----a-w- c:\windows\system32\nvmccs.dll 2009-11-19 20:42 . 2009-02-02 08:06 592488 ----a-w- c:\windows\system32\NVUNINST.EXE 2009-11-17 13:06 . 2009-11-17 13:06 -------- d-----w- c:\programme\Ventrilo 2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx0c.dll 2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx07.dll 2009-11-14 00:47 . 2009-11-14 00:47 847872 ----a-w- c:\windows\system32\divx_xx0a.dll 2009-11-14 00:47 . 2009-11-14 00:47 843776 ----a-w- c:\windows\system32\divx_xx16.dll 2009-11-14 00:47 . 2009-11-14 00:47 839680 ----a-w- c:\windows\system32\divx_xx11.dll 2009-11-14 00:47 . 2009-11-14 00:47 696320 ----a-w- c:\windows\system32\DivX.dll 2009-10-29 07:41 . 2004-08-16 18:30 832512 ----a-w- c:\windows\system32\wininet.dll 2009-10-29 07:40 . 2004-08-16 18:17 78336 ----a-w- c:\windows\system32\ieencode.dll 2009-10-29 07:40 . 2004-08-16 18:15 17408 ----a-w- c:\windows\system32\corpol.dll 2009-10-21 05:38 . 2004-08-16 18:26 75776 ----a-w- c:\windows\system32\strmfilt.dll 2009-10-21 05:38 . 2004-08-16 18:16 25088 ----a-w- c:\windows\system32\httpapi.dll 2009-10-20 16:20 . 2004-08-16 18:16 265728 ----a-w- c:\windows\system32\drivers\http.sys 2009-10-13 10:32 . 2004-08-16 18:22 271360 ----a-w- c:\windows\system32\oakley.dll 2009-10-12 13:38 . 2004-08-16 18:23 150528 ----a-w- c:\windows\system32\rastls.dll 2009-10-12 13:38 . 2004-08-16 18:23 79872 ----a-w- c:\windows\system32\raschap.dll . ------- Sigcheck ------- [7] 2008-04-14 . B0050CC5340E3A0760DD8B417FF7AEBD . 580096 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll [7] 2008-04-14 . B0050CC5340E3A0760DD8B417FF7AEBD . 580096 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\95722b048b44feeb8b09afd7a4b3cf38\user32 .dll [-] 2008-04-14 . B3D83514BB66E7A3E5D5738D0CA82640 . 580096 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll [7] 2004-08-16 . 56785FD5236D7B22CF471A6DA9DB46D8 . 578560 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\user32.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . Hinweis leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\programme\Winamp Toolbar\winamptb.dll" [2008-07-16 1266992] [HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1] [HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}] [HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Steam"="c:\programme\Steam\Steam.exe" [2009-10-24 1217808] "Octoshape Streaming Services"="c:\dokumente und einstellungen\Panda\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2009-01-08 70936] "Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-07-16 25604904] "ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2009-11-16 172792] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2007-03-21 16126464] "JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864] "36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-03-21 1953792] "VirtualDrive"="c:\programme\FarStone\VirtualDrive\VDTask.exe" [2007-06-27 159744] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-06-13 148888] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-11-20 12669544] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-11-20 110184] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Panda\Startmen\Programme\Autostart\ OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000] Xfire.lnk - c:\programme\Xfire\Xfire.exe [2009-11-30 3181456] c:\dokumente und einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\ WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2009-6-24 525640] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\Authorize dApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Winamp Remote\\bin\\Orb.exe"= "c:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"= "c:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\World of Warcraft Public Test\\Launcher.exe"= "c:\\Dokumente und Einstellungen\\Panda\\Anwendungsdaten\\Macromedia\\Flash Player\\www.macromedia.com\\bin\\octoshape\\octoshape.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Steam\\steamapps\\bleakstare1987\\counter-strike source\\hl2.exe"= "c:\\Dokumente und Einstellungen\\Panda\\Lokale Einstellungen\\Anwendungsdaten\\Dyyno Receiver\\DPPM.exe"= "c:\\Programme\\Steam\\Steam.exe"= "c:\\Programme\\Xfire\\Xfire.exe"= "c:\\Programme\\Dyyno\\Dyyno Broadcaster\\dgcsrv.exe"= "c:\\Programme\\Dyyno\\Dyyno Broadcaster\\dppm_source.exe"= "c:\\Dokumente und Einstellungen\\Panda\\Anwendungsdaten\\Octoshape\\Octoshape Streaming Services\\OctoshapeClient.exe"= "c:\\Programme\\Ventrilo\\Ventrilo.exe"= "c:\\World of Warcraft\\WoW-3.2.0-deDE-downloader.exe"= "c:\\World of Warcraft\\Launcher.exe"= "c:\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-enGB-downloader.exe"= "c:\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"= "c:\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe"= "c:\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyO penPorts\List] "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [30.08.2008 21:15 222456] R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [24.12.2008 22:44 38656] S2 gupdate1c9b972843da4d4;Google Update Service (gupdate1c9b972843da4d4);c:\programme\Google\Update\GoogleUpdate.exe [10.04.2009 01:23 133104] S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\cpustab\kerneld.wnt --> c:\cpustab\kerneld.wnt [?] S3 FXDrv32;FXDrv32;\??\d:\fxdrv32.sys --> d:\FXDrv32.sys [?] . Inhalt des "geplante Tasks" Ordners 2009-12-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-04-10 00:23] 2009-12-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-04-10 00:23] 2009-12-31 c:\windows\Tasks\WGASetup.job - c:\windows\system32\KB905474\wgasetup.exe [2009-04-29 20:18] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.focus.de/ IE: &Winamp Search - c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html FF - ProfilePath - c:\dokumente und einstellungen\Panda\Anwendungsdaten\Mozilla\Firefox\Profiles\7wi3iz44.default\ FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query= FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/ FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query= FF - component: c:\dokumente und einstellungen\Panda\Anwendungsdaten\Mozilla\Firefox\Profiles\7wi3iz44.default\ex tensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll FF - plugin: c:\dokumente und einstellungen\Panda\Anwendungsdaten\Mozilla\Firefox\Profiles\7wi3iz44.default\ex tensions\NPDyyno@dyyno.com\plugins\npDyyno.dll FF - plugin: c:\dokumente und einstellungen\Panda\Anwendungsdaten\Mozilla\plugins\npoctoshape.dll FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll FF - plugin: c:\programme\Dyyno\Dyyno Player\npvlc.dll FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - Entfernte verwaiste Registrierungseinträge - - - - BHO-{ee1babcf-cbe2-4c07-8e18-dfe6fc08c30a} - (no file) HKCU-Run-Malware Defense - c:\programme\Malware Defense\mdefense.exe HKLM-Run-nwiz - nwiz.exe MSConfigStartUp-MS_MASTER - c:\windows\system32\xml_inc.dll AddRemove-Malware Defense - c:\programme\Malware Defense\Uninstall.exe AddRemove-NVIDIA Display Control Panel - c:\programme\NVIDIA Corporation\Uninstall\nvuninst.exe AddRemove-Winamp Toolbar for Firefox - c:\dokumente und einstellungen\Panda\Anwendungsdaten\Mozilla\Firefox\Profiles\7wi3iz44.default\ex tensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\uninstall.exe ************************************************************************ Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ********************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver] "ImagePath"="\??\c:\cpustab\kerneld.wnt" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(1064) c:\programme\Xfire\xfire_toucan_40405.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\nvsvc32.exe c:\windows\RTHDCPL.EXE c:\windows\system32\RUNDLL32.EXE c:\programme\OpenOffice.org 3\program\soffice.exe c:\programme\OpenOffice.org 3\program\soffice.bin c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\wdfmgr.exe c:\windows\system32\wscntfy.exe c:\windows\system32\wbem\wmiapsrv.exe c:\programme\Skype\Plugin Manager\skypePM.exe . ************************************************************************ . Zeit der Fertigstellung: 2009-12-31 16:35:45 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-12-31 15:35 Vor Suchlauf: 12 Verzeichnis(se), 18.138.902.528 Bytes frei Nach Suchlauf: 14 Verzeichnis(se), 20.966.436.864 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /noexecute=optin - - End Of File - - 900404A6EAB3410E2600A9E05CDFD8A5

31.12.2009, 17:00	#5 (Direktlink)
Freefall Gast Beiträge: n/a	TDSS hat in keinem der durchsuchten Objekte Infizierte Parts gefunden. Sprich überall stand 0. Ich nehme an das ist kein schlechtes Zeichen ? ^^

31.12.2009, 17:58	#7 (Direktlink)
Freefall Gast Beiträge: n/a	GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover Rootkit scan 2009-12-31 17:52:57 Windows 5.1.2600 Service Pack 3 Running: el34v12c.exe; Driver: C:\DOKUME~1\Panda\LOKALE~1\Temp\pxtdypob.sys ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB7076380, 0x5414D5, 0xE8000020] ---- User code sections - GMER 1.0.15 ---- .text C:\Programme\Xfire\Xfire.exe[412] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 03A1BD2B C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] kernel32.dll!CreateThread 7C8106D7 5 Bytes JMP 03A1B6CF C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] GDI32.dll!BitBlt 77EF6F79 5 Bytes JMP 03A1B147 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!ReleaseDC 7E36869D 5 Bytes JMP 03A1B0AC C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!GetDC 7E3686C7 5 Bytes JMP 03A1B018 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!CreateDialogParamW 7E36EA3B 5 Bytes JMP 03A1B81A C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!SetForegroundWindow 7E3742ED 5 Bytes JMP 03A1B968 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 03A1B776 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!InvalidateRect 7E378FD5 5 Bytes JMP 03A1B28F C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!BeginPaint 7E378FE9 5 Bytes JMP 03A1AF84 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!GetCursorPos 7E37974E 5 Bytes JMP 03A1B463 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!WindowFromPoint 7E379766 5 Bytes JMP 03A1B4FB C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!RedrawWindow 7E379944 5 Bytes JMP 03A1B596 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!SetWindowPos 7E3799F3 5 Bytes JMP 03A1B8BE C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!IsWindowVisible 7E379E3D 7 Bytes JMP 03A1BAB9 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!SetFocus 7E37B112 5 Bytes JMP 03A1B1F7 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!SetCapture 7E37C35E 5 Bytes JMP 03A1B3CB C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!InvalidateRgn 7E37CDFE 5 Bytes JMP 03A1B32D C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 03A1BA00 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!RegisterClassA 7E37EA5E 5 Bytes JMP 03A1B637 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) .text C:\Programme\Xfire\Xfire.exe[412] USER32.dll!TrackPopupMenu 7E3B531E 5 Bytes JMP 03A1BC81 C:\Programme\Xfire\xfire_toucan_40405.dll (Xfire Toucan DLL/Xfire Inc.) ---- EOF - GMER 1.0.15 ----

31.12.2009, 19:10	#9 (Direktlink)
Freefall Gast Beiträge: n/a	Malwarebytes' Anti-Malware 1.43 Datenbank Version: 3458 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 31.12.2009 19:09:27 mbam-log-2009-12-31 (19-09-27).txt Scan-Methode: Vollständiger Scan (C:\\|) Durchsuchte Objekte: 324540 Laufzeit: 41 minute(s), 10 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 15 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Dokumente und Einstellungen\Panda\Startmenü\Programme\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Qoobox\Quarantine\C\Programme\Malware Defense\mdefense.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\Programme\Malware Defense\mdext.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\H8SRTmpppvjgoyj.sys.vir (Malware.Packer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{01D776C2-D3FD-4BF0-B752-484972456935}\RP197\A0056949.sys (Malware.Packer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{01D776C2-D3FD-4BF0-B752-484972456935}\RP197\A0056953.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{01D776C2-D3FD-4BF0-B752-484972456935}\RP197\A0057314.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{01D776C2-D3FD-4BF0-B752-484972456935}\RP197\A0057315.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Crem\Eigene Dateien\install_flash_player.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Panda\Lokale Einstellungen\Temporary Internet Files\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2}\productinfo.dll (Adware.DoubleD) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Panda\Startmenü\Programme\malware Defense\Malware Defense Support.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Panda\Startmenü\Programme\malware Defense\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Panda\Startmenü\Programme\malware Defense\Uninstall Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Panda\Desktop\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Panda\Desktop\Malware Defense Support.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Panda\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

31.12.2009, 19:15	#10 (Direktlink)
markusg Malware-Team Registriert seit: 30.03.2008 Alter: 25 Beiträge: 8.612	Anleitung zum Löschen von Viren / Thread erstellen poste das rsit log, achtung, eine Datei wird minimiert geöffnet werden, auch deren inhalt posten. __________________ >>>Supporter des Jahres, jede stimme zählt.<<< http://twitter.com/markusg11 liebermann_frank@yahoo.de

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Angriff auf WPA verfeinert	Info	Sicherheitsmeldungen von heise.de	0	27.08.2009 13:40
Mac OS X: Angriff ohne Spuren	Info	Sicherheitsmeldungen von heise.de	0	25.01.2009 12:10
Angriff auf meinen PC protokolliert durch Sygate Firewall	Zor Karras	Viren-Forum	7	03.08.2008 21:33
Router Angriff		Netzwerke	4	19.02.2006 22:24
Angriff beim Router	Wender	Netzwerke	4	19.02.2006 21:40