hi leute ich habe seit ein paar stunden das oben genannte problem ich habe auch schon combofix durchlaufen lassen doch ab diesem punkt benötige ich eure hilfe ich höffe wir können das schaffen hier der combofix log



ComboFix 09-02-12.03 - badboy 2009-02-13 20:53:11.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2047.1670 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\badboy\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\dokume~1\badboy\LOKALE~1\Temp\tmp1.tmp
c:\dokume~1\badboy\LOKALE~1\Temp\tmp2.tmp
D:\Autorun.inf
E:\Autorun.inf
G:\Autorun.inf
g:\recycler\S-2-9-41-100022325-100001635-100009867-4388.com
g:\recycler\S-6-3-20-100018048-100025665-100001276-5127.com
g:\recycler\S-7-6-73-100009061-100003925-100005946-1969.com

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-13 bis 2009-02-13 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2009-02-13 19:50 --------- d-----w c:\programme\CCleaner
2009-02-13 19:38 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-02-13 19:38 --------- d-----w c:\dokumente und einstellungen\badboy\Anwendungsdaten\Malwarebytes
2009-02-13 19:38 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-13 19:33 --------- d-----w c:\programme\Teamspeak2_RC2
2009-02-13 19:25 507,392 ----a-w c:\windows\system32\OLD3F.tmp
2009-02-13 19:02 315,392 ----a-w c:\windows\HideWin.exe
2009-02-13 19:02 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-13 19:02 --------- d-----w c:\programme\Realtek
2009-02-13 19:01 --------- d-----w c:\programme\Gemeinsame Dateien\ATI Technologies
2009-02-13 18:58 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-02-13 18:58 --------- d-----w c:\programme\ATI Technologies
2009-02-13 18:56 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-13 18:45 558,142 ----a-w c:\windows\java\Packages\4ENF7LVD.ZIP
2009-02-13 18:45 155,995 ----a-w c:\windows\java\Packages\ODN5JNHF.ZIP
2009-02-13 18:45 --------- d-----w c:\programme\microsoft frontpage
2009-02-13 18:44 --------- d-----w c:\programme\Online-Dienste
2009-02-13 18:43 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-01-07 10:28 453,152 ----a-w c:\windows\system32\NVUNINST.EXE
2008-12-17 22:34 67,688 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-12-17 22:34 54,368 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-12-17 22:34 34,944 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-12-17 22:34 46,712 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-12-17 22:34 172,136 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2009-01-15 13680640]
"NvMediaCenter"="c:\windows\System32\NvMcTray. dll" [2009-01-15 86016]
"nwiz"="nwiz.exe" [2009-01-15 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-03 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

S3 SetupNTGLM7X;SetupNTGLM7X;F:\NTGLM7X.SYS [2006-06-23 28160]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - ALG
*NewlyCreated* - BITS
*NewlyCreated* - DCOMLAUNCH
*NewlyCreated* - FLTMGR
*NewlyCreated* - HTTP
*NewlyCreated* - IPNAT
*NewlyCreated* - SHAREDACCESS
*NewlyCreated* - WSCSVC

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{568b6142-f9fd-11dd-8486-806d6172696f}]
\Shell\AutoRun\command - F:\Setup.exe
.
.
------- Zusätzlicher Suchlauf -------
.
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\badboy\Anwendungsdaten\Mozilla\Firef ox\Profiles\1sxmmj43.default\
FF - component: c:\programme\Mozilla Firefox\components\xpinstal.dll
.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-13 20:53:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

************************************************** ************************
.
Zeit der Fertigstellung: 2009-02-13 20:54:07
ComboFix-quarantined-files.txt 2009-02-13 19:54:05

Vor Suchlauf: 9 Verzeichnis(se), 37.333.594.112 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 37,335,293,952 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Professional" /fastdetect /NoExecute=OptIn

107



ps: wer rechtschreibfehler findet kann sie gerne behalten ^^

Werbung

Hallo und

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

F:\NTGLM7X.SYS

Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren. Sollte die Datei nicht zu finden sein, markiere jeweils eine Zeile, kopiere sie und füge sie bei Virustotal ein.

2.) Malwarebytes Antimalware ausführen und Logfile posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!). Klicke vor dem Scannen auf die Karte Update und dann auf Suche nach Aktualisierungen.

3.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: Anleitung: SuperAntiSpyware

4.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

KILLALL::

File::
c:\windows\system32\OLD3F.tmp

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{568b6142-f9fd-11dd-8486-806d6172696f}]

FileLook::
c:\windows\HideWin.exe

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

5.) Poste ein neues Hijackthis Logfile.

ciao, andreas

also ich habe die combofix datei überprüfen lassen ich hoffe das war richtig ich bin da nicht so der profi ^^

__________________________________________________ ___
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.13 -
AhnLab-V3 5.0.0.2 2009.02.13 -
AntiVir 7.9.0.79 2009.02.13 -
Authentium 5.1.0.4 2009.02.13 -
Avast 4.8.1335.0 2009.02.12 -
AVG 8.0.0.237 2009.02.13 -
BitDefender 7.2 2009.02.13 -
CAT-QuickHeal 10.00 2009.02.13 -
ClamAV 0.94.1 2009.02.13 -
Comodo 976 2009.02.13 -
DrWeb 4.44.0.09170 2009.02.13 -
eSafe 7.0.17.0 2009.02.12 -
eTrust-Vet 31.6.6355 2009.02.13 -
F-Prot 4.4.4.56 2009.02.13 -
F-Secure 8.0.14470.0 2009.02.13 -
Fortinet 3.117.0.0 2009.02.13 -
GData 19 2009.02.13 -
Ikarus T3.1.1.45.0 2009.02.13 -
K7AntiVirus 7.10.629 2009.02.13 -
Kaspersky 7.0.0.125 2009.02.13 -
McAfee 5524 2009.02.12 -
McAfee+Artemis 5524 2009.02.12 -
Microsoft 1.4306 2009.02.13 -
NOD32 3851 2009.02.13 -
Norman 6.00.02 2009.02.13 -
nProtect 2009.1.8.0 2009.02.13 -
Panda 10.0.0.10 2009.02.13 -
PCTools 4.4.2.0 2009.02.13 -
Prevx1 V2 2009.02.13 -
Rising 21.16.42.00 2009.02.13 -
SecureWeb-Gateway 6.7.6 2009.02.13 -
Sophos 4.38.0 2009.02.13 -
Sunbelt 3.2.1851.2 2009.02.12 -
Symantec 10 2009.02.13 -
TheHacker 6.3.2.0.255 2009.02.13 -
TrendMicro 8.700.0.1004 2009.02.13 -
VBA32 3.12.8.12 2009.02.13 -
ViRobot 2009.2.13.1605 2009.02.13 -
VirusBuster 4.5.11.0 2009.02.13 -
weitere Informationen
File size: 5752 bytes
MD5...: fa6cde517a0c37f71e1b2a339282f86d
SHA1..: 279b84b8c8bbef7ee125345b0e2a4a32c4224a70
SHA256: 9d4a11d832a3566a078cb9507eb615ef17156f733c67a2762d f308270fc0b3df
SHA512: ab129bbdcba4a185d71139fc3f932536581c3c407bfd278114 259e7dc1e153e9
ea51024ade81d18d8f2a3c61a4eec3ae1237c80bb401473d43 f709e7543dc918
ssdeep: 96:0l/B0pX3G06v/GMfgInPKIXcV0VLKCltrG9zj2pP02Cp4ciq:q4Xq2Mf+8Lf5
LCp3
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
__________________________________________________ _______________

Zitat:

also ich habe die combofix datei überprüfen lassen ich hoffe das war richtig

Nicht wirklich, du sollst die Datei

Code:

F:\NTGLM7X.SYS

überprüfen lassen. Kopiere beim nächsten Mal alles mit, von ganz oben bis ganz unten.

ciao, andreas

aso entschuldige ^^ hier das ist der report davon


__________________________________________________ _____________
Datei NTGLM7X.SYS empfangen 2009.02.13 21:45:34 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/39 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.13 -
AhnLab-V3 5.0.0.2 2009.02.13 -
AntiVir 7.9.0.79 2009.02.13 -
Authentium 5.1.0.4 2009.02.13 -
Avast 4.8.1335.0 2009.02.12 -
AVG 8.0.0.237 2009.02.13 -
BitDefender 7.2 2009.02.13 -
CAT-QuickHeal 10.00 2009.02.13 -
ClamAV 0.94.1 2009.02.13 -
Comodo 976 2009.02.13 -
DrWeb 4.44.0.09170 2009.02.13 -
eSafe 7.0.17.0 2009.02.12 -
eTrust-Vet 31.6.6355 2009.02.13 -
F-Prot 4.4.4.56 2009.02.13 -
F-Secure 8.0.14470.0 2009.02.13 -
Fortinet 3.117.0.0 2009.02.13 -
GData 19 2009.02.13 -
Ikarus T3.1.1.45.0 2009.02.13 -
K7AntiVirus 7.10.629 2009.02.13 -
Kaspersky 7.0.0.125 2009.02.13 -
McAfee 5524 2009.02.12 -
McAfee+Artemis 5524 2009.02.12 -
Microsoft 1.4306 2009.02.13 -
NOD32 3851 2009.02.13 -
Norman 6.00.02 2009.02.13 -
nProtect 2009.1.8.0 2009.02.13 -
Panda 10.0.0.10 2009.02.13 -
PCTools 4.4.2.0 2009.02.13 -
Prevx1 V2 2009.02.13 -
Rising 21.16.42.00 2009.02.13 -
SecureWeb-Gateway 6.7.6 2009.02.13 -
Sophos 4.38.0 2009.02.13 -
Sunbelt 3.2.1851.2 2009.02.12 -
Symantec 10 2009.02.13 -
TheHacker 6.3.2.0.255 2009.02.13 -
TrendMicro 8.700.0.1004 2009.02.13 -
VBA32 3.12.8.12 2009.02.13 -
ViRobot 2009.2.13.1605 2009.02.13 -
VirusBuster 4.5.11.0 2009.02.13 -
weitere Informationen
File size: 28160 bytes
MD5...: c31d54d77b860eb4eb55aeb524e02ece
SHA1..: db135844853c6a17a862069aa6ab0928da7d123d
SHA256: 8a00062b172a8c43a9fcb928dc1a2667982d2e92e0f4d6aafd a6abfcc3771cd1
SHA512: d2310ece17398084fc4e8418675d8f4c2020eeeda1706b8047 622780f1786539
96edf2d37256d62c94debddd73f10fb3ac0ae287e68fcf9117 d7729b6bf65462
ssdeep: 384:FW2dqpWqsumKWxpJRghYici+k0ex7C07JIhavaNT5//R/7ZYhelsk:f4pnWx
WHl+k0ex7Ci+havaTZNEel
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xa544
timedatestamp.....: 0x449bae1f (Fri Jun 23 09:02:23 2006)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3c41 0x3e00 6.27 96ba754462d0da51b600bcf2baec5421
.rdata 0x5000 0x2a8 0x400 3.51 950941b90a44101a61b735775cafc023
.data 0x6000 0x2c1 0x400 3.31 e75196214bf6ccfbccd96a71801977f5
.CRT 0x7000 0xc 0x200 0.06 ef62e38b2f7b50a217b931646db27557
.STL 0x8000 0x10 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
PAGE 0x9000 0xb1f 0xc00 5.94 922b2f8e27684f54d7b7812a01d4d085
INIT 0xa000 0x966 0xa00 6.15 f06baa546ab54f6753113166f196b21b
.rsrc 0xb000 0x3e0 0x400 3.32 ba9fd25ec3d0ca0ae642ed0e64d3916c
.reloc 0xc000 0x5b0 0x600 4.84 af6fff45d2e6264bfffee04ffee1a884

( 2 imports )
> ntoskrnl.exe: KeTickCount, KeDelayExecutionThread, RtlAppendUnicodeStringToString, IoDeleteDevice, IoCreateSymbolicLink, IoDeleteSymbolicLink, IoRegisterShutdownNotification, IoUnregisterShutdownNotification, IoCreateDevice, ZwOpenKey, ZwCreateKey, memmove, RtlCopyUnicodeString, ZwQueryValueKey, MmUnmapIoSpace, MmMapIoSpace, IoAcquireCancelSpinLock, IoReleaseCancelSpinLock, ExQueueWorkItem, RtlIntegerToUnicodeString, IoFreeMdl, IofCompleteRequest, MmMapLockedPages, RtlInitUnicodeString, ZwClose, ExFreePoolWithTag, ExAllocatePoolWithTag
> HAL.dll: HalGetBusData, HalGetBusDataByOffset, KfLowerIrql, KeGetCurrentIrql, KfReleaseSpinLock, KfAcquireSpinLock, HalTranslateBusAddress, HalSetBusDataByOffset, WRITE_PORT_UCHAR, READ_PORT_UCHAR

( 0 exports )
packers (Kaspersky): PE_Patch
__________________________________________________ ______________

Alles klar, die ist sauber, wollte nur sichergehen.

ciao, andreas

soll ich dann jetzt mit dem scripten weitermachen???
oder erstmal die anderen progs durchlaufen lassen?

Die Liste Punkt für Punkt abarbeiten. Sind extra Zahlen davor.
Vermutlich wird nichts gefunden, dein Rechner ist wirklich aufgeräumt und du scheinst nicht allzuviel installiert zu haben.

ciao, andreas

aso ok ich habe jetzt soweit alles gemacht auser das mit dem scripten aber das kommt jetzt ich danke dir für die schnell und kompetente hilfe

#
ein dickes lob an dich

Fehlen hier nicht noch jede Menge Logs?

ciao, andreas