|
Plagegeister aller Art und deren Bekämpfung: Worm.KoobFace, Trojan.BHO auf dem System :(Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.11.2009, 18:06 | #1 |
| Worm.KoobFace, Trojan.BHO auf dem System :( Salut! Leider hab ich mir (durch eigene Dummheit) über ne Private Message auf Facebook den Wurm KoobFace und wohl noch einiges mehr eingefangen. AntiVir hatte mir direkt nach der dummen Aktion vorgestern angezeigt das ein Trojaner gefunden wurde, den ich dann gleich in Quarantäne verschoben und anschließend gelöscht habe. Gestern und heute hab ich allerdings die Fundmeldungen wieder bekommen. Das heißt, die werd ich wohl nicht so schnell los Hab jetz direkt mal die 3 Schritte ( CC Cleaner, Malwarebytes; RSIT) durchgeführt und poste direkt mal die logfiles. Gestern hatte mir AntiVir jedoch noch einen Trojaner mit anderem Namen (TR/Dropper.Gen) angezeigt (logfile füge ich auch bei), während AntiVir heute TR/Dldr.Small.anlx [C:\Windows\rdr_1259238239.exe], Worm/KoobFace.cci [C:\Users\media\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\J3BSO2LU\v2captcha[1].exe] und TR/Crypt.ZPACK.Gen [C:\Windows\rdr_1259238202.exe] gefunden hat. Da mit KoobFace wohl nicht zu spaßen ist, befürchte ich mal das ich um ne Formatierung nicht herum komme, oder? Vielen Dank schonmal! Malware Log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3237 Windows 6.0.6001 Service Pack 1 26.11.2009 17:14:11 mbam-log-2009-11-26 (17-13-53).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 274959 Laufzeit: 1 hour(s), 28 minute(s), 22 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 11 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 7 Infizierte Speicherprozesse: C:\Windows\freddy75.exe (Trojan.Downloader) -> No action taken. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\hostie.bho (Adware.Zango) -> No action taken. HKEY_CLASSES_ROOT\hostie.bho.1 (Adware.Zango) -> No action taken. HKEY_CLASSES_ROOT\hbmain.commband (Adware.Zango) -> No action taken. HKEY_CLASSES_ROOT\hbmain.commband.1 (Adware.Zango) -> No action taken. HKEY_CLASSES_ROOT\hbr.hbmain (Adware.Zango) -> No action taken. HKEY_CLASSES_ROOT\hbr.hbmain.1 (Adware.Zango) -> No action taken. HKEY_CLASSES_ROOT\instie.hbinstobj (Adware.Zango) -> No action taken. HKEY_CLASSES_ROOT\instie.hbinstobj.1 (Adware.Zango) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\advantage (Adware.Vomba) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysfbtray (Trojan.Downloader) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysldtray (Worm.KoobFace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\zango 10.3.37.0 (Adware.Zango) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Windows\freddy75.exe (Trojan.Downloader) -> No action taken. C:\Windows\ld15.exe (Worm.KoobFace) -> No action taken. C:\Windows\010112010146116101.xxe (KoobFace.Trace) -> No action taken. C:\Windows\0101120101465355.xxe (KoobFace.Trace) -> No action taken. C:\Windows\bk23567.dat (KoobFace.Trace) -> No action taken. C:\Windows\010112010146101105.rx (Malware.Trace) -> No action taken. C:\Program Files\ICQToolbar\toolbaru.dll (Trojan.BHO) -> No action taken. Geändert von premier (26.11.2009 um 18:23 Uhr) Grund: Geändert zwecks Übersichtlichkeit SRY |
26.11.2009, 18:08 | #2 |
| Worm.KoobFace, Trojan.BHO auf dem System :( Ok hier doch der AntiVir log:
__________________Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 25. November 2009 09:31 Es wird nach 1390946 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista Windowsversion : (Service Pack 1) [6.0.6001] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : MEDIA-PC Versionsinformationen: BUILD.DAT : 9.0.0.415 21609 Bytes 08.11.2009 09:55:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 16:21:46 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 16:21:45 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:17:18 VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 17:17:18 VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 17:17:18 VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 17:17:18 VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 17:17:18 VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 17:17:18 VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 17:17:18 VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 17:17:18 VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 17:17:18 VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 17:17:18 VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 17:17:18 VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 17:17:19 VBASE013.VDF : 7.10.1.12 2048 Bytes 19.11.2009 17:17:19 VBASE014.VDF : 7.10.1.13 2048 Bytes 19.11.2009 17:17:19 VBASE015.VDF : 7.10.1.14 2048 Bytes 19.11.2009 17:17:19 VBASE016.VDF : 7.10.1.15 2048 Bytes 19.11.2009 17:17:19 VBASE017.VDF : 7.10.1.16 2048 Bytes 19.11.2009 17:17:19 VBASE018.VDF : 7.10.1.17 2048 Bytes 19.11.2009 17:17:19 VBASE019.VDF : 7.10.1.18 2048 Bytes 19.11.2009 17:17:19 VBASE020.VDF : 7.10.1.19 2048 Bytes 19.11.2009 17:17:19 VBASE021.VDF : 7.10.1.20 2048 Bytes 19.11.2009 17:17:19 VBASE022.VDF : 7.10.1.21 2048 Bytes 19.11.2009 17:17:19 VBASE023.VDF : 7.10.1.22 2048 Bytes 19.11.2009 17:17:19 VBASE024.VDF : 7.10.1.23 2048 Bytes 19.11.2009 17:17:19 VBASE025.VDF : 7.10.1.24 2048 Bytes 19.11.2009 17:17:19 VBASE026.VDF : 7.10.1.25 2048 Bytes 19.11.2009 17:17:19 VBASE027.VDF : 7.10.1.26 2048 Bytes 19.11.2009 17:17:19 VBASE028.VDF : 7.10.1.27 2048 Bytes 19.11.2009 17:17:19 VBASE029.VDF : 7.10.1.28 2048 Bytes 19.11.2009 17:17:19 VBASE030.VDF : 7.10.1.29 2048 Bytes 19.11.2009 17:17:19 VBASE031.VDF : 7.10.1.63 178176 Bytes 24.11.2009 10:49:43 Engineversion : 8.2.1.72 AEVDF.DLL : 8.1.1.2 106867 Bytes 16.09.2009 15:16:22 AESCRIPT.DLL : 8.1.2.45 586108 Bytes 18.11.2009 16:23:54 AESCN.DLL : 8.1.2.5 127346 Bytes 07.09.2009 10:47:17 AESBX.DLL : 8.1.1.1 246132 Bytes 19.11.2009 16:21:46 AERDL.DLL : 8.1.3.2 479604 Bytes 03.10.2009 15:58:41 AEPACK.DLL : 8.2.0.3 422261 Bytes 05.11.2009 17:11:24 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 30.06.2009 11:00:00 AEHEUR.DLL : 8.1.0.180 2093432 Bytes 08.11.2009 16:08:24 AEHELP.DLL : 8.1.7.4 237943 Bytes 18.11.2009 16:20:30 AEGEN.DLL : 8.1.1.75 364918 Bytes 19.11.2009 16:21:46 AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 15:58:15 AECORE.DLL : 8.1.8.2 184694 Bytes 05.11.2009 16:51:10 AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 10.09.2009 14:14:33 AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 16:21:44 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Mittwoch, 25. November 2009 09:31 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '123348' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'freddy75.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'conime.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'YAWn.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BTStackServer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MagicDoctorKbdHk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EasySpeedUpManager.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EasyBatteryMgr3.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess '[verify-U]-Service.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NitroPDFDriverService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IMSSync.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ASTSRV.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '75' Prozesse mit '75' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '57' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Program Files\AdVantage\ffext.mod [0] Archivtyp: CAB (Microsoft) --> {A89AED22-9133-424c-88E7-C8235C5FF302}\components\MeMedia_FF.dll [FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Agent.23040 C:\Users\media\AppData\Local\Temp\syrUja98.exe.part [FUND] Ist das Trojanische Pferd TR/Dropper.Gen Beginne mit der Suche in 'D:\' Beginne mit der Desinfektion: C:\Program Files\AdVantage\ffext.mod [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b71ff5c.qua' verschoben! C:\Users\media\AppData\Local\Temp\syrUja98.exe.part [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7eff6f.qua' verschoben! Ende des Suchlaufs: Mittwoch, 25. November 2009 10:55 Benötigte Zeit: 1:23:00 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 27308 Verzeichnisse wurden überprüft 609119 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 609115 Dateien ohne Befall 4854 Archive wurden durchsucht 2 Warnungen 4 Hinweise 123348 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Geändert von premier (26.11.2009 um 18:25 Uhr) Grund: Konnte die Datei nicht als Anhang hinzufügen |
26.11.2009, 18:10 | #3 |
| Worm.KoobFace, Trojan.BHO auf dem System :( Log ist jetzt als Anhang drangehängt. SRY
__________________Geändert von premier (26.11.2009 um 18:18 Uhr) Grund: Zu umständlich. |
27.11.2009, 01:36 | #4 |
| Worm.KoobFace, Trojan.BHO auf dem System :( Salut! Hier noch weitere Informationen, die bereits in anderen Threads bei ähnlichen Problemen angefragt wurden. Zunächst wollte ich mein System mit Hilfe von GMER nach Rootkit Infektion untersuchen. Leider ist mein PC bei zwei Versuchen nach wenigen Minuten abgestürzt. (Hier die Windows Fehlermeldungen dazu: Code:
ATTFilter Problemsignatur: Problemereignisname: BlueScreen Betriebsystemversion: 6.0.6001.2.1.0.768.3 Gebietsschema-ID: 1031 Zusatzinformationen zum Problem: BCCode: 4e BCP1: 00000007 BCP2: 000169A9 BCP3: 00000001 BCP4: 00000000 OS Version: 6_0_6001 Service Pack: 1_0 Product: 768_1 Dateien, die bei der Beschreibung des Problems hilfreich sind: C:\Windows\Minidump\Mini112709-02.dmp C:\Users\media\AppData\Local\Temp\WER-67876-0.sysdata.xml C:\Users\media\AppData\Local\Temp\WER1276.tmp.version.txt Lesen Sie unsere Datenschutzrichtlinie: http://go.microsoft.com/fwlink/?linkid=50163&clcid=0x0407) Meine installierten Programme (laut CCleaner): Code:
ATTFilter 2007 Microsoft Office system Microsoft Corporation 19.06.2007 491,2MB [verify-U] AVS 2.1.9 :cybits: GmbH 22.05.2008 5,39MB ABBYY FineReader 6.0 Sprint ABBYY Software House 12.02.2009 119,5MB Activation Assistant for the 2007 Microsoft Office suites Microsoft Corporation 29.07.2007 13,5MB Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 28.08.2009 Adobe Flash Player 10 Plugin Adobe Systems Incorporated 02.10.2009 Adobe Reader 7.1.0 - Deutsch Adobe Systems Incorporated 14.05.2008 78,0MB Adobe Shockwave Player Adobe Systems, Inc. 27.01.2008 Agere Systems HDA Modem Agere Systems 19.06.2007 Apple Application Support Apple Inc. 14.10.2009 32,2MB Apple Mobile Device Support Apple Inc. 14.10.2009 40,3MB Apple Software Update Apple Inc. 19.01.2009 2,16MB Avira AntiVir Personal - Free Antivirus Avira GmbH 29.06.2009 71,8MB AVS Update Manager 1.0 Online Media Technologies Ltd. 12.06.2009 5,95MB AVS Video Converter 6 Online Media Technologies Ltd. 12.06.2009 15,4MB AVS4YOU Software Navigator 1.3 Online Media Technologies Ltd. 12.06.2009 3,65MB AVStation Now Ihr Firmenname 19.06.2007 3,54MB Bonjour Apple Inc. 28.04.2009 0,49MB Business Contact Manager für Outlook 2007 Microsoft Corporation 19.06.2007 29,0MB CCleaner Piriform 25.11.2009 2,73MB Cisco Systems VPN Client 5.0.02.0090 Cisco Systems, Inc. 26.02.2008 12,2MB Clock Screen Saver ABF software 28.03.2008 0,54MB Command & Conquer™ Red Alert™ 3 Electronic Arts 03.09.2009 3.846,9MB DivX Codec DivX, Inc. 10.09.2009 1,31MB DivX Converter DivX, Inc. 10.09.2009 37,1MB DivX Player DivX, Inc. 10.09.2009 8,41MB DivX Plus DirectShow Filters DivX, Inc. 10.09.2009 1,22MB DivX Web Player DivX,Inc. 10.09.2009 2,53MB Easy Battery Manager 29.07.2007 3,66MB Easy Display Manager Samsung 19.06.2007 7,59MB Easy Network Manager 3.0 Ihr Firmenname 19.06.2007 31,0MB Easy SpeedUp Manager 29.07.2007 2,36MB EPSON Scan 12.02.2009 13,7MB EPSON Stylus SX200_SX400_TX200_TX400 Handbuch 12.02.2009 7,52MB EPSON Stylus SX400 Series Printer Uninstall SEIKO EPSON Corporation 12.02.2009 13,7MB EVEREST Home Edition v2.20 Lavalys Inc 22.10.2009 6,58MB Free PDF to Word Doc Converter v1.1 www.hellopdf.com 03.02.2009 2,74MB Free YouTube to Mp3 Converter version 3.1 DVD Video Soft Limited. 11.07.2008 2,37MB Freecell 2006 12.01.2008 0,83MB Google Earth Google 25.01.2008 33,3MB Google Toolbar for Internet Explorer Google Inc. 25.10.2009 36,6MB HijackThis 2.0.2 TrendMicro 25.11.2009 ICQ Toolbar ICQ 07.09.2009 0,80MB ICQ6.5 ICQ 07.09.2009 47,6MB imagine digital freedom - Samsung Samsung Electronics Co., LTD 19.06.2007 7,50MB Intel(R) PROSet/Wireless Software Intel Corporation 29.07.2007 Intel® Matrix Storage Manager 29.07.2007 0,99MB Intel® Media-Share-Software Intel Corporation 12.08.2007 39,4MB iTunes Apple Inc. 14.10.2009 132,4MB Java(TM) 6 Update 13 Sun Microsystems, Inc. 17.06.2009 94,5MB Java(TM) 6 Update 3 Sun Microsystems, Inc. 12.01.2008 133,2MB Java(TM) 6 Update 5 Sun Microsystems, Inc. 19.04.2008 136,2MB Java(TM) 6 Update 7 Sun Microsystems, Inc. 08.08.2008 136,2MB Lexmark X1100 Series 03.08.2008 43,0MB Malwarebytes' Anti-Malware Malwarebytes Corporation 25.11.2009 3,99MB MCE Software Encoder 1.0 29.07.2007 0,85MB Metacafe 21.01.2008 15,1MB Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft Corporation 28.08.2009 37,0MB Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 28.08.2009 37,0MB Microsoft Office 2003 Web Components Microsoft Corporation 19.06.2007 21,7MB Microsoft Office 2007 Primary Interop Assemblies Microsoft Corporation 19.06.2007 7,23MB Microsoft Office Small Business Connectivity Components Microsoft Corporation 19.06.2007 0,15MB Microsoft Office XP Professional mit FrontPage Microsoft Corporation 16.04.2008 376,6MB Microsoft SQL Server 2005 Microsoft Corporation 19.06.2007 42,7MB Microsoft SQL Server Native Client Microsoft Corporation 19.06.2007 2,59MB Microsoft SQL Server VSS Writer Microsoft Corporation 19.06.2007 0,68MB Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 17.11.2007 0,41MB Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 Microsoft Corporation 01.06.2009 2,06MB Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 29.06.2009 0,58MB mIRC mIRC Co. Ltd. 22.10.2008 3,24MB Mozilla Firefox (3.0.15) Mozilla 27.10.2009 30,2MB MSXML 4.0 SP2 (KB936181) Microsoft Corporation 28.08.2007 1,27MB MSXML 4.0 SP2 (KB941833) Microsoft Corporation 10.10.2007 1,27MB MSXML 4.0 SP2 (KB954430) Microsoft Corporation 12.11.2008 1,28MB MSXML 4.0 SP2 (KB973688) Microsoft Corporation 25.11.2009 1,34MB MSXML 4.0 SP2 Parser and SDK Microsoft Corporation 19.06.2007 1,23MB Mumble and Murmur Mumble 01.06.2009 24,9MB Nero 9 Nero AG 16.11.2009 765,8MB Nitro PDF Professional Nitro PDF Software 25.06.2009 86,4MB NVIDIA Drivers 29.07.2007 OpenOffice.org 2.3 OpenOffice.org 12.01.2008 302,9MB PDFCreator Frank Heindörfer, Philip Chinery 25.06.2009 22,1MB pdfforge Toolbar v1.0 GreenTree Applications, Inc. 25.06.2009 4,46MB Play AVStation Ihr Firmenname 19.06.2007 81,2MB PlayCamera 12.08.2007 294,7MB PrimoPDF -- brought to you by Nitro PDF Software Nitro PDF Software 25.06.2009 11,6MB QuickTime Apple Inc. 14.10.2009 76,5MB Realtek High Definition Audio Driver Realtek Semiconductor Corp. 19.06.2007 13,9MB Return to Castle Wolfenstein Activision, Inc. 30.09.2009 664,1MB Safari Apple Inc. 01.04.2008 60,8MB Samsung Magic Doctor 29.07.2007 15,2MB Samsung Recovery Solution II Samsung 19.06.2007 16,4MB Samsung Update Plus Samsung Electronics Co., LTD 19.06.2007 5,63MB Seismovision 3 (remove only) 09.06.2009 14,6MB SopCast 3.0.3 SopCast.com 22.05.2009 9,09MB Stream Torrent 1.0 03.10.2009 2,59MB Synaptics Pointing Device Driver Synaptics 19.06.2007 12,9MB TeamSpeak 2 RC2 Dominating Bytes Design 26.05.2009 True Combat: Elite 0.49 GrooveSix, TeamTerminator 21.01.2008 TVUPlayer 2.4.7.2 TVU networks 25.10.2009 13,1MB Uninstall 1.0.0.1 11.07.2008 16,2MB Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch) Microsoft Corporation 19.06.2007 23,2MB User Guide 29.07.2007 126,8MB Veetle TV 0.9.14 Veetle, Inc 30.05.2009 10,8MB VentriloMix VentriloMix Company 01.06.2009 26,1MB VideoLAN VLC media player 0.8.6d VideoLAN Team 24.12.2007 32,2MB Warsow 0.42 Warsow development team 03.03.2008 188,7MB WIDCOMM Bluetooth Software WIDCOMM, Inc. 19.06.2007 36,2MB Windows Media Player Firefox Plugin Microsoft Corp 20.07.2008 0,29MB WinRAR 14.02.2008 3,66MB Wolfenstein - Enemy Territory 29.12.2007 956,3MB YAWn!.NET (remove only) 16.07.2008 11,0MB Code:
ATTFilter Malwarebytes' Anti-Malware 1.41 Datenbank Version: 3237 Windows 6.0.6001 Service Pack 1 27.11.2009 00:46:17 mbam-log-2009-11-27 (00-46-17).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 274728 Laufzeit: 1 hour(s), 31 minute(s), 32 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Danke schonmal! |
27.11.2009, 19:30 | #5 |
/// AVZ-Toolkit Guru | Worm.KoobFace, Trojan.BHO auf dem System :( Hi Premier und danke für die umfangreichen Informationen. Hast du AVZ als Archiv runtergeladen (.zip) und dann entpackt oder hast du die avz.exe runtergeladen? Ich frage weil ich in den letzten 6 Stunden die Anleitung umgeschrieben habe. Guck bitte grade nochmal rein und sage mir ob du nach der Anleitung die jetzt drinn ist gearbeitet hast (runterladen des .zip Archives) oder nach der wo man die avz.exe direkt beim herunterladen umbennent. PS: Sichere auf jeden Fall deine Diplom Arbeit und alles andere was wichtig ist! Wie das geht poste ich dir jetzt: Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun: Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:
Außerdem sollte die Sicherung über eine LiveCD geschehen da sich Viren gerne an Dateien anhängen oder externe Datenträger infizieren. Das wird durch die Nutzung einer LiveCD verhindert. Auf Grund der bekannten Oberfläche empfehle ich VistaPE. Die PC-Welt stellt folgendes Paket zur Erstellung bereit: http://www.hitech-blog.com/wp-conten...pcwVistaPE.zip Downloade dir das Paket, entpacke es in einen eigenen Ordner und starte das Setup durch einen Doppelklick auf die pcwVistaPE.exe. Es öffnet sich ein Setup welches dich in mehreren Schritten durch den Installations- und Brennvorgang führt. Danach steht dir eine LiveCD zur Verfügung welche du in dein Laufwerk einlegst und den Rechner neustartest. Der PC sollte dann von der LiveCD booten, dass heisst er startet das Mini Betriebssystem von der CD. Sollte er das nicht tun so musst du im BIOS den First Boot Device auf CD/DVD-Rom ändern. Wie das geht findest du bei google... Sichere also zu erst nach dieser Anleitung deine daten! Wenn du sie schon auf einen USB Stick gezogen hattest dann nimm bitte einene frischen oder formatiere direkt von der LIVE CD aus einen. Nur so kannst du sicher sein, dass deine Daten nicht kompromitiert werden.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
27.11.2009, 21:33 | #6 |
| Worm.KoobFace, Trojan.BHO auf dem System :( Moin Undoreal! Vielen Dank, dass du dich meines Problems annimmst! Ich hab AVZ noch nach der alten Anleitung, also direkt als .exe Datei runtergeladen und auch [U]nicht[U] mit Rechtsklick und "als Administrator ausführen" ausgeführt. Ich hab den Scan vor ca. 9 Stunden gestartet und dauert nach Angabe des Scanners noch 13,5 Stunden dauern. Ich habe allerdings gerade eben festgestellt, dass unter dem Reiter "search scope" auch nur die Partition C: angehakt ist und die Partition D: sowie der eingesteckte USB Stick, den ich auch prüfen wollte und das DVD Laufwerk nicht. Heißt dass, der Scan wäre eh so ziemlich umsonst, da nur die Hälfte des Systems gescannt wurde?? Falls dem so ist, würde ich den jetzt abbrechen und zunächst mal meine Daten sichern. Eine Live CD lässt sich ja sicher auch auf DVD brennen, oder? Hast du ne Ahnung, was es zu bedeuten hat, dass ich den GMER scan nicht vollständig ausführen kann (siehe Thread). Zudem sind die zwei Malwarebyte Scans, die ich seit dem ersten Malware Scan incl. Löschung der Malware ausgeführt habe völlig sauber. Lässt sich daraus aber noch nicht schließen, dass das system wieder gesäubert ist? Nutzt das "Windows Malicious Software Removal Tool" in diesem Fall auch etwas? Gruß premier |
28.11.2009, 11:58 | #7 |
| Worm.KoobFace, Trojan.BHO auf dem System :( Moin! Hier jetzt der AVZ Scan von gestern (im Anhang). Allerdings habe ich den ersten Scan (virusinfo_syscure.zip) noch nach der alten Anleitung, also mit de direkt runtergeladenen avz.exe und ohne "als Administrator starten" durchgeführt. Den zweiten Scan (virusinfo_syscheck.zip) hab ich dann nach der neuen Anleitung gemacht. Allerdings habe ich bei keinem der 2 Scans irgendwelche Haken bei dem Reiter "Search Scope" verändert. Das heißt, beim ersten Scan war nur die Partition C: angehakt und beim zweiten Scan waren überhaupt keine Haken gesetzt. Ich hoffe mal, das macht die ganze Aktion jetzt nicht hinfällig. Die Live CD erstelle ich gerade auf einem sauberen System. Gruß premier! |
29.11.2009, 16:27 | #8 |
| Worm.KoobFace, Trojan.BHO auf dem System :( Hallo! Ich hab jetzt nochmal 4 Online Scanner (Kaspersky, Bit Defender, ESET, EmsiSoft a-sqared) drüber laufen lassen. Die Scan Berichte sind im Anhang. (Ich habe zwischen den Scans jeweils den PC neu gestartet, hatte den USB Stick angeschlossen, den ich nach der ersten Anzeige des Wurms noch verwendet hatte und ich habe während der Scans AntiVir und den Window Defender deaktiviert.) Außer ein paar Toolbars wurde hierbei nichts gefunden. Auch der letzte Malware bytes Scan sowie der AVZ Scan (wobei ich wie gesagt nicht sicher bin, ob ich den korrekt durchgeführt habe) haben nichts mehr angezeigt. Also keine Spur mehr von Koobface und den anderen Trojanern. Kann ich daraus jetzt schließen, dass mein System wieder sauber ist, oder kann sich da trotzdem noch was versteckt haben? Danke! PS: Konnte die Live CD mit pcwVistaPE auf dem anderen, sauberen PC nicht erstellen, da dieser mit Windows XP läuft. Kann ich auch eine andere Live CD (Knoppix oder so) verwenden? Oder hat sich das jetzt sowieso erübrigt, da mein System sauber ist? Hab mir gestern ne externe Festplatte besorgt. Kann ich die jetzt schon bedenkenlos anschließen? |
01.12.2009, 14:58 | #9 |
/// AVZ-Toolkit Guru | Worm.KoobFace, Trojan.BHO auf dem System :( Online scans bringen nichts. Mache bitte nichts was wir dir hier nicht explizit sagen. Die Festplatte und auch andere USB Sticks sollten auf keinen Fall an den Rechner!!! Brenne dir eine ive CD (egal welche). Mit der startest du das System dann. Erst dann hängst du die Externe Platte drann. Sollte die schonmal vorher an dem infizierten Rechner drann gewesen sein dann musst du sie unbedingt formatieren!! Das gleiche gilt für USB Sticks. Von LiveCD starten, USB Speichermedium anschließen, formatieren und danach dann die wichtigsten Daten drauf. Ich gucke mir so lange die AVZ logs an.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
01.12.2009, 15:15 | #10 |
/// AVZ-Toolkit Guru | Worm.KoobFace, Trojan.BHO auf dem System :( Erst nachdem du alle wichtigen Daten gesichert hast führst du folgende Schritte aus!! Führe mit AVZ folgendes Skript aus: Code:
ATTFilter begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\Program Files\pdfforge Toolbar\SearchSettings.exe'); DeleteFileMask('C:\Users\media\AppData\Local\Temp', '*.*', true); DeleteFileMask('C:\', '*.tmp', true); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 3, 3, true); RebootWindows(true); end. Poste außerdem ein PrevX log. Prevx
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
01.12.2009, 18:50 | #11 |
| Worm.KoobFace, Trojan.BHO auf dem System :( Hi Undoreal! Schön dich wieder zu sehen!!! =) Bin gerade noch mit der Datensicherung beschäftigt. mach danach nochmal die Scans und stell die log files dan gleich online. Ist es jetzt eigentlich ok wenn der AVZ scan so um die 18 bis 20 Stunden benötigt? Und muss ich vorher denn im Reiter Scan Scope alle Laufwerke anhaken? Ist es außerdem egal ob ich während des Scans online bin? Gruß und Danke! premier |
01.12.2009, 19:52 | #12 |
/// AVZ-Toolkit Guru | Worm.KoobFace, Trojan.BHO auf dem System :( Während des Scans solltest du nichts am Rechner machen! Die Internet Verbindung kann ruhig bestehen bleiben während der Scan läuft. An den Einstellungen solltest du nichts ändern! Das der Scan sehr lange dauert ist OK. Hauptsache er hängt sich nicht auf. PrevX Vollversion oder nur die free?
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
01.12.2009, 20:52 | #13 |
| Worm.KoobFace, Trojan.BHO auf dem System :( Denke mal, ich hol mir dan eher die Free Version. Hab grad noch ein ganz anderes Problem :\ Meine neue Externe Festplatte wird unter Betrieb der VistaPE Live CD nicht erkannt :x Andere Rechner hingegen erkennen die Festplatte sofort. Das heißt, ich kann meine Daten nicht sichern. Hat da jemand ne Idee? |
01.12.2009, 22:33 | #14 |
/// AVZ-Toolkit Guru | Worm.KoobFace, Trojan.BHO auf dem System :( Brenne dir mal Knoppix auf eine CD und versuche ob die Platte dann erkannt wird. Ich mache da nur so einen Aufstand drumm weil ich auf keinen Fall will, dass du deine Arbeit verlierst.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
03.12.2009, 01:18 | #15 |
| Worm.KoobFace, Trojan.BHO auf dem System :( Salut! Habs jetzt endllich geschafft die Daten zu sichern. Knoppix hatte die Festplatte erkannt, da konnte ich sie aber (trotz meinen 1337en Linux command skills ) nicht formatieren. Unter Ubuntu gings dann aber endlich! =) Hab mir jetzt auch heute noch ne Windows 7 Lizenz geholt. Das heißt, im Prinzip wäre ich jetzt auch bereit, das System komplett neu aufzusetzen. SOllte man da vorher trotzdem nochmal nen Scan machen? Gruß premier |
Themen zu Worm.KoobFace, Trojan.BHO auf dem System :( |
adware.vomba, adware.zango, antivir, browser, captcha, cc cleaner, content.ie5, desktop, excel, explorer, fehler, firefox, flash player, helper, home, installation, internet, koobface, malware.trace, malwarebytes' anti-malware, mp3, pdf, private message, problem, programm, registrierungsschlüssel, rundll, security, server, software, system, tr/crypt.zpack.gen, tr/dldr.small.anlx, tr/dropper.gen, trojan.bho, trojan.downloader, trojaner, trojaner gefunden, user agent, windows, worm.koobface, wurm |