| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Worm.KoobFace, Trojan.BHO auf dem System :(Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
26.11.2009, 18:06
| #1 |
 |  Worm.KoobFace, Trojan.BHO auf dem System :( Salut! Leider hab ich mir (durch eigene Dummheit) über ne Private Message auf Facebook den Wurm KoobFace und wohl noch einiges mehr eingefangen. AntiVir hatte mir direkt nach der dummen Aktion vorgestern angezeigt das ein Trojaner gefunden wurde, den ich dann gleich in Quarantäne verschoben und anschließend gelöscht habe. Gestern und heute hab ich allerdings die Fundmeldungen wieder bekommen. Das heißt, die werd ich wohl nicht so schnell los  Hab jetz direkt mal die 3 Schritte ( CC Cleaner, Malwarebytes; RSIT) durchgeführt und poste direkt mal die logfiles. Gestern hatte mir AntiVir jedoch noch einen Trojaner mit anderem Namen (TR/Dropper.Gen) angezeigt (logfile füge ich auch bei), während AntiVir heute TR/Dldr.Small.anlx [C:\Windows\rdr_1259238239.exe], Worm/KoobFace.cci [C:\Users\media\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\J3BSO2LU\v2captcha[1].exe] und TR/Crypt.ZPACK.Gen [C:\Windows\rdr_1259238202.exe] gefunden hat. Da mit KoobFace wohl nicht zu spaßen ist, befürchte ich mal das ich um ne Formatierung nicht herum komme, oder? Vielen Dank schonmal! Malware Log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3237
Windows 6.0.6001 Service Pack 1
26.11.2009 17:14:11
mbam-log-2009-11-26 (17-13-53).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 274959
Laufzeit: 1 hour(s), 28 minute(s), 22 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7
Infizierte Speicherprozesse:
C:\Windows\freddy75.exe (Trojan.Downloader) -> No action taken.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\hostie.bho (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hostie.bho.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hbmain.commband (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hbmain.commband.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hbr.hbmain (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hbr.hbmain.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\instie.hbinstobj (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\instie.hbinstobj.1 (Adware.Zango) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\advantage (Adware.Vomba) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Trojan.BHO) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysfbtray (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysldtray (Worm.KoobFace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform\zango 10.3.37.0 (Adware.Zango) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Windows\freddy75.exe (Trojan.Downloader) -> No action taken.
C:\Windows\ld15.exe (Worm.KoobFace) -> No action taken.
C:\Windows\010112010146116101.xxe (KoobFace.Trace) -> No action taken.
C:\Windows\0101120101465355.xxe (KoobFace.Trace) -> No action taken.
C:\Windows\bk23567.dat (KoobFace.Trace) -> No action taken.
C:\Windows\010112010146101105.rx (Malware.Trace) -> No action taken.
C:\Program Files\ICQToolbar\toolbaru.dll (Trojan.BHO) -> No action taken.
Geändert von premier (26.11.2009 um 18:23 Uhr) Grund: Geändert zwecks Übersichtlichkeit SRY |
|
26.11.2009, 18:08
| #2 |
| | Worm.KoobFace, Trojan.BHO auf dem System :( Ok hier doch der AntiVir log:
__________________Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 25. November 2009 09:31
Es wird nach 1390946 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 1) [6.0.6001]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : MEDIA-PC
Versionsinformationen:
BUILD.DAT : 9.0.0.415 21609 Bytes 08.11.2009 09:55:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 16:21:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 16:21:45
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:17:18
VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 17:17:18
VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 17:17:18
VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 17:17:18
VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 17:17:18
VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 17:17:18
VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 17:17:18
VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 17:17:18
VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 17:17:18
VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 17:17:18
VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 17:17:18
VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 17:17:19
VBASE013.VDF : 7.10.1.12 2048 Bytes 19.11.2009 17:17:19
VBASE014.VDF : 7.10.1.13 2048 Bytes 19.11.2009 17:17:19
VBASE015.VDF : 7.10.1.14 2048 Bytes 19.11.2009 17:17:19
VBASE016.VDF : 7.10.1.15 2048 Bytes 19.11.2009 17:17:19
VBASE017.VDF : 7.10.1.16 2048 Bytes 19.11.2009 17:17:19
VBASE018.VDF : 7.10.1.17 2048 Bytes 19.11.2009 17:17:19
VBASE019.VDF : 7.10.1.18 2048 Bytes 19.11.2009 17:17:19
VBASE020.VDF : 7.10.1.19 2048 Bytes 19.11.2009 17:17:19
VBASE021.VDF : 7.10.1.20 2048 Bytes 19.11.2009 17:17:19
VBASE022.VDF : 7.10.1.21 2048 Bytes 19.11.2009 17:17:19
VBASE023.VDF : 7.10.1.22 2048 Bytes 19.11.2009 17:17:19
VBASE024.VDF : 7.10.1.23 2048 Bytes 19.11.2009 17:17:19
VBASE025.VDF : 7.10.1.24 2048 Bytes 19.11.2009 17:17:19
VBASE026.VDF : 7.10.1.25 2048 Bytes 19.11.2009 17:17:19
VBASE027.VDF : 7.10.1.26 2048 Bytes 19.11.2009 17:17:19
VBASE028.VDF : 7.10.1.27 2048 Bytes 19.11.2009 17:17:19
VBASE029.VDF : 7.10.1.28 2048 Bytes 19.11.2009 17:17:19
VBASE030.VDF : 7.10.1.29 2048 Bytes 19.11.2009 17:17:19
VBASE031.VDF : 7.10.1.63 178176 Bytes 24.11.2009 10:49:43
Engineversion : 8.2.1.72
AEVDF.DLL : 8.1.1.2 106867 Bytes 16.09.2009 15:16:22
AESCRIPT.DLL : 8.1.2.45 586108 Bytes 18.11.2009 16:23:54
AESCN.DLL : 8.1.2.5 127346 Bytes 07.09.2009 10:47:17
AESBX.DLL : 8.1.1.1 246132 Bytes 19.11.2009 16:21:46
AERDL.DLL : 8.1.3.2 479604 Bytes 03.10.2009 15:58:41
AEPACK.DLL : 8.2.0.3 422261 Bytes 05.11.2009 17:11:24
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 30.06.2009 11:00:00
AEHEUR.DLL : 8.1.0.180 2093432 Bytes 08.11.2009 16:08:24
AEHELP.DLL : 8.1.7.4 237943 Bytes 18.11.2009 16:20:30
AEGEN.DLL : 8.1.1.75 364918 Bytes 19.11.2009 16:21:46
AEEMU.DLL : 8.1.1.0 393587 Bytes 03.10.2009 15:58:15
AECORE.DLL : 8.1.8.2 184694 Bytes 05.11.2009 16:51:10
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 10.09.2009 14:14:33
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 16:21:44
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Mittwoch, 25. November 2009 09:31
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '123348' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'freddy75.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conime.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YAWn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTStackServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicDoctorKbdHk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasySpeedUpManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasyBatteryMgr3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess '[verify-U]-Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NitroPDFDriverService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IMSSync.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASTSRV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '75' Prozesse mit '75' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '57' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Program Files\AdVantage\ffext.mod
[0] Archivtyp: CAB (Microsoft)
--> {A89AED22-9133-424c-88E7-C8235C5FF302}\components\MeMedia_FF.dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Agent.23040
C:\Users\media\AppData\Local\Temp\syrUja98.exe.part
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
Beginne mit der Suche in 'D:\'
Beginne mit der Desinfektion:
C:\Program Files\AdVantage\ffext.mod
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b71ff5c.qua' verschoben!
C:\Users\media\AppData\Local\Temp\syrUja98.exe.part
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7eff6f.qua' verschoben!
Ende des Suchlaufs: Mittwoch, 25. November 2009 10:55
Benötigte Zeit: 1:23:00 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
27308 Verzeichnisse wurden überprüft
609119 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
609115 Dateien ohne Befall
4854 Archive wurden durchsucht
2 Warnungen
4 Hinweise
123348 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Geändert von premier (26.11.2009 um 18:25 Uhr) Grund: Konnte die Datei nicht als Anhang hinzufügen |
|
26.11.2009, 18:10
| #3 |
| | Worm.KoobFace, Trojan.BHO auf dem System :( Log ist jetzt als Anhang drangehängt. SRY
__________________Geändert von premier (26.11.2009 um 18:18 Uhr) Grund: Zu umständlich. |
|
27.11.2009, 01:36
| #4 |
| | Worm.KoobFace, Trojan.BHO auf dem System :( Salut! Hier noch weitere Informationen, die bereits in anderen Threads bei ähnlichen Problemen angefragt wurden. Zunächst wollte ich mein System mit Hilfe von GMER nach Rootkit Infektion untersuchen. Leider ist mein PC bei zwei Versuchen nach wenigen Minuten abgestürzt. (Hier die Windows Fehlermeldungen dazu: Code:
ATTFilter Problemsignatur:
Problemereignisname: BlueScreen
Betriebsystemversion: 6.0.6001.2.1.0.768.3
Gebietsschema-ID: 1031
Zusatzinformationen zum Problem:
BCCode: 4e
BCP1: 00000007
BCP2: 000169A9
BCP3: 00000001
BCP4: 00000000
OS Version: 6_0_6001
Service Pack: 1_0
Product: 768_1
Dateien, die bei der Beschreibung des Problems hilfreich sind:
C:\Windows\Minidump\Mini112709-02.dmp
C:\Users\media\AppData\Local\Temp\WER-67876-0.sysdata.xml
C:\Users\media\AppData\Local\Temp\WER1276.tmp.version.txt
Lesen Sie unsere Datenschutzrichtlinie:
http://go.microsoft.com/fwlink/?linkid=50163&clcid=0x0407)
Meine installierten Programme (laut CCleaner): Code:
ATTFilter 2007 Microsoft Office system Microsoft Corporation 19.06.2007 491,2MB
[verify-U] AVS 2.1.9 :cybits: GmbH 22.05.2008 5,39MB
ABBYY FineReader 6.0 Sprint ABBYY Software House 12.02.2009 119,5MB
Activation Assistant for the 2007 Microsoft Office suites Microsoft Corporation 29.07.2007 13,5MB
Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 28.08.2009
Adobe Flash Player 10 Plugin Adobe Systems Incorporated 02.10.2009
Adobe Reader 7.1.0 - Deutsch Adobe Systems Incorporated 14.05.2008 78,0MB
Adobe Shockwave Player Adobe Systems, Inc. 27.01.2008
Agere Systems HDA Modem Agere Systems 19.06.2007
Apple Application Support Apple Inc. 14.10.2009 32,2MB
Apple Mobile Device Support Apple Inc. 14.10.2009 40,3MB
Apple Software Update Apple Inc. 19.01.2009 2,16MB
Avira AntiVir Personal - Free Antivirus Avira GmbH 29.06.2009 71,8MB
AVS Update Manager 1.0 Online Media Technologies Ltd. 12.06.2009 5,95MB
AVS Video Converter 6 Online Media Technologies Ltd. 12.06.2009 15,4MB
AVS4YOU Software Navigator 1.3 Online Media Technologies Ltd. 12.06.2009 3,65MB
AVStation Now Ihr Firmenname 19.06.2007 3,54MB
Bonjour Apple Inc. 28.04.2009 0,49MB
Business Contact Manager für Outlook 2007 Microsoft Corporation 19.06.2007 29,0MB
CCleaner Piriform 25.11.2009 2,73MB
Cisco Systems VPN Client 5.0.02.0090 Cisco Systems, Inc. 26.02.2008 12,2MB
Clock Screen Saver ABF software 28.03.2008 0,54MB
Command & Conquer™ Red Alert™ 3 Electronic Arts 03.09.2009 3.846,9MB
DivX Codec DivX, Inc. 10.09.2009 1,31MB
DivX Converter DivX, Inc. 10.09.2009 37,1MB
DivX Player DivX, Inc. 10.09.2009 8,41MB
DivX Plus DirectShow Filters DivX, Inc. 10.09.2009 1,22MB
DivX Web Player DivX,Inc. 10.09.2009 2,53MB
Easy Battery Manager 29.07.2007 3,66MB
Easy Display Manager Samsung 19.06.2007 7,59MB
Easy Network Manager 3.0 Ihr Firmenname 19.06.2007 31,0MB
Easy SpeedUp Manager 29.07.2007 2,36MB
EPSON Scan 12.02.2009 13,7MB
EPSON Stylus SX200_SX400_TX200_TX400 Handbuch 12.02.2009 7,52MB
EPSON Stylus SX400 Series Printer Uninstall SEIKO EPSON Corporation 12.02.2009 13,7MB
EVEREST Home Edition v2.20 Lavalys Inc 22.10.2009 6,58MB
Free PDF to Word Doc Converter v1.1 www.hellopdf.com 03.02.2009 2,74MB
Free YouTube to Mp3 Converter version 3.1 DVD Video Soft Limited. 11.07.2008 2,37MB
Freecell 2006 12.01.2008 0,83MB
Google Earth Google 25.01.2008 33,3MB
Google Toolbar for Internet Explorer Google Inc. 25.10.2009 36,6MB
HijackThis 2.0.2 TrendMicro 25.11.2009
ICQ Toolbar ICQ 07.09.2009 0,80MB
ICQ6.5 ICQ 07.09.2009 47,6MB
imagine digital freedom - Samsung Samsung Electronics Co., LTD 19.06.2007 7,50MB
Intel(R) PROSet/Wireless Software Intel Corporation 29.07.2007
Intel® Matrix Storage Manager 29.07.2007 0,99MB
Intel® Media-Share-Software Intel Corporation 12.08.2007 39,4MB
iTunes Apple Inc. 14.10.2009 132,4MB
Java(TM) 6 Update 13 Sun Microsystems, Inc. 17.06.2009 94,5MB
Java(TM) 6 Update 3 Sun Microsystems, Inc. 12.01.2008 133,2MB
Java(TM) 6 Update 5 Sun Microsystems, Inc. 19.04.2008 136,2MB
Java(TM) 6 Update 7 Sun Microsystems, Inc. 08.08.2008 136,2MB
Lexmark X1100 Series 03.08.2008 43,0MB
Malwarebytes' Anti-Malware Malwarebytes Corporation 25.11.2009 3,99MB
MCE Software Encoder 1.0 29.07.2007 0,85MB
Metacafe 21.01.2008 15,1MB
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft Corporation 28.08.2009 37,0MB
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 28.08.2009 37,0MB
Microsoft Office 2003 Web Components Microsoft Corporation 19.06.2007 21,7MB
Microsoft Office 2007 Primary Interop Assemblies Microsoft Corporation 19.06.2007 7,23MB
Microsoft Office Small Business Connectivity Components Microsoft Corporation 19.06.2007 0,15MB
Microsoft Office XP Professional mit FrontPage Microsoft Corporation 16.04.2008 376,6MB
Microsoft SQL Server 2005 Microsoft Corporation 19.06.2007 42,7MB
Microsoft SQL Server Native Client Microsoft Corporation 19.06.2007 2,59MB
Microsoft SQL Server VSS Writer Microsoft Corporation 19.06.2007 0,68MB
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 17.11.2007 0,41MB
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 Microsoft Corporation 01.06.2009 2,06MB
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 29.06.2009 0,58MB
mIRC mIRC Co. Ltd. 22.10.2008 3,24MB
Mozilla Firefox (3.0.15) Mozilla 27.10.2009 30,2MB
MSXML 4.0 SP2 (KB936181) Microsoft Corporation 28.08.2007 1,27MB
MSXML 4.0 SP2 (KB941833) Microsoft Corporation 10.10.2007 1,27MB
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 12.11.2008 1,28MB
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 25.11.2009 1,34MB
MSXML 4.0 SP2 Parser and SDK Microsoft Corporation 19.06.2007 1,23MB
Mumble and Murmur Mumble 01.06.2009 24,9MB
Nero 9 Nero AG 16.11.2009 765,8MB
Nitro PDF Professional Nitro PDF Software 25.06.2009 86,4MB
NVIDIA Drivers 29.07.2007
OpenOffice.org 2.3 OpenOffice.org 12.01.2008 302,9MB
PDFCreator Frank Heindörfer, Philip Chinery 25.06.2009 22,1MB
pdfforge Toolbar v1.0 GreenTree Applications, Inc. 25.06.2009 4,46MB
Play AVStation Ihr Firmenname 19.06.2007 81,2MB
PlayCamera 12.08.2007 294,7MB
PrimoPDF -- brought to you by Nitro PDF Software Nitro PDF Software 25.06.2009 11,6MB
QuickTime Apple Inc. 14.10.2009 76,5MB
Realtek High Definition Audio Driver Realtek Semiconductor Corp. 19.06.2007 13,9MB
Return to Castle Wolfenstein Activision, Inc. 30.09.2009 664,1MB
Safari Apple Inc. 01.04.2008 60,8MB
Samsung Magic Doctor 29.07.2007 15,2MB
Samsung Recovery Solution II Samsung 19.06.2007 16,4MB
Samsung Update Plus Samsung Electronics Co., LTD 19.06.2007 5,63MB
Seismovision 3 (remove only) 09.06.2009 14,6MB
SopCast 3.0.3 SopCast.com 22.05.2009 9,09MB
Stream Torrent 1.0 03.10.2009 2,59MB
Synaptics Pointing Device Driver Synaptics 19.06.2007 12,9MB
TeamSpeak 2 RC2 Dominating Bytes Design 26.05.2009
True Combat: Elite 0.49 GrooveSix, TeamTerminator 21.01.2008
TVUPlayer 2.4.7.2 TVU networks 25.10.2009 13,1MB
Uninstall 1.0.0.1 11.07.2008 16,2MB
Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch) Microsoft Corporation 19.06.2007 23,2MB
User Guide 29.07.2007 126,8MB
Veetle TV 0.9.14 Veetle, Inc 30.05.2009 10,8MB
VentriloMix VentriloMix Company 01.06.2009 26,1MB
VideoLAN VLC media player 0.8.6d VideoLAN Team 24.12.2007 32,2MB
Warsow 0.42 Warsow development team 03.03.2008 188,7MB
WIDCOMM Bluetooth Software WIDCOMM, Inc. 19.06.2007 36,2MB
Windows Media Player Firefox Plugin Microsoft Corp 20.07.2008 0,29MB
WinRAR 14.02.2008 3,66MB
Wolfenstein - Enemy Territory 29.12.2007 956,3MB
YAWn!.NET (remove only) 16.07.2008 11,0MB
Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3237
Windows 6.0.6001 Service Pack 1
27.11.2009 00:46:17
mbam-log-2009-11-27 (00-46-17).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 274728
Laufzeit: 1 hour(s), 31 minute(s), 32 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Danke schonmal! |
|
27.11.2009, 19:30
| #5 |
| /// AVZ-Toolkit Guru   | Worm.KoobFace, Trojan.BHO auf dem System :( Hi Premier und danke für die umfangreichen Informationen. Hast du AVZ als Archiv runtergeladen (.zip) und dann entpackt oder hast du die avz.exe runtergeladen? Ich frage weil ich in den letzten 6 Stunden die Anleitung umgeschrieben habe. Guck bitte grade nochmal rein und sage mir ob du nach der Anleitung die jetzt drinn ist gearbeitet hast (runterladen des .zip Archives) oder nach der wo man die avz.exe direkt beim herunterladen umbennent. PS: Sichere auf jeden Fall deine Diplom Arbeit und alles andere was wichtig ist! Wie das geht poste ich dir jetzt: Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun: Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:
Außerdem sollte die Sicherung über eine LiveCD geschehen da sich Viren gerne an Dateien anhängen oder externe Datenträger infizieren. Das wird durch die Nutzung einer LiveCD verhindert. Auf Grund der bekannten Oberfläche empfehle ich VistaPE. Die PC-Welt stellt folgendes Paket zur Erstellung bereit: http://www.hitech-blog.com/wp-conten...pcwVistaPE.zip Downloade dir das Paket, entpacke es in einen eigenen Ordner und starte das Setup durch einen Doppelklick auf die pcwVistaPE.exe. Es öffnet sich ein Setup welches dich in mehreren Schritten durch den Installations- und Brennvorgang führt. Danach steht dir eine LiveCD zur Verfügung welche du in dein Laufwerk einlegst und den Rechner neustartest. Der PC sollte dann von der LiveCD booten, dass heisst er startet das Mini Betriebssystem von der CD. Sollte er das nicht tun so musst du im BIOS den First Boot Device auf CD/DVD-Rom ändern. Wie das geht findest du bei google... Sichere also zu erst nach dieser Anleitung deine daten! Wenn du sie schon auf einen USB Stick gezogen hattest dann nimm bitte einene frischen oder formatiere direkt von der LIVE CD aus einen. Nur so kannst du sicher sein, dass deine Daten nicht kompromitiert werden.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
27.11.2009, 21:33
| #6 |
| | Worm.KoobFace, Trojan.BHO auf dem System :( Moin Undoreal! Vielen Dank, dass du dich meines Problems annimmst!  Ich hab AVZ noch nach der alten Anleitung, also direkt als .exe Datei runtergeladen und auch [U]nicht[U] mit Rechtsklick und "als Administrator ausführen" ausgeführt. Ich hab den Scan vor ca. 9 Stunden gestartet und dauert nach Angabe des Scanners noch 13,5 Stunden dauern. Ich habe allerdings gerade eben festgestellt, dass unter dem Reiter "search scope" auch nur die Partition C: angehakt ist und die Partition D: sowie der eingesteckte USB Stick, den ich auch prüfen wollte und das DVD Laufwerk nicht. Heißt dass, der Scan wäre eh so ziemlich umsonst, da nur die Hälfte des Systems gescannt wurde?? Falls dem so ist, würde ich den jetzt abbrechen und zunächst mal meine Daten sichern. Eine Live CD lässt sich ja sicher auch auf DVD brennen, oder? Hast du ne Ahnung, was es zu bedeuten hat, dass ich den GMER scan nicht vollständig ausführen kann (siehe Thread). Zudem sind die zwei Malwarebyte Scans, die ich seit dem ersten Malware Scan incl. Löschung der Malware ausgeführt habe völlig sauber. Lässt sich daraus aber noch nicht schließen, dass das system wieder gesäubert ist? Nutzt das "Windows Malicious Software Removal Tool" in diesem Fall auch etwas? Gruß premier |
|
28.11.2009, 11:58
| #7 |
| | Worm.KoobFace, Trojan.BHO auf dem System :( Moin! Hier jetzt der AVZ Scan von gestern (im Anhang). Allerdings habe ich den ersten Scan (virusinfo_syscure.zip) noch nach der alten Anleitung, also mit de direkt runtergeladenen avz.exe und ohne "als Administrator starten" durchgeführt. Den zweiten Scan (virusinfo_syscheck.zip) hab ich dann nach der neuen Anleitung gemacht. Allerdings habe ich bei keinem der 2 Scans irgendwelche Haken bei dem Reiter "Search Scope" verändert. Das heißt, beim ersten Scan war nur die Partition C: angehakt und beim zweiten Scan waren überhaupt keine Haken gesetzt. Ich hoffe mal, das macht die ganze Aktion jetzt nicht hinfällig. Die Live CD erstelle ich gerade auf einem sauberen System. Gruß premier! |
|
29.11.2009, 16:27
| #8 |
| | Worm.KoobFace, Trojan.BHO auf dem System :( Hallo! Ich hab jetzt nochmal 4 Online Scanner (Kaspersky, Bit Defender, ESET, EmsiSoft a-sqared) drüber laufen lassen. Die Scan Berichte sind im Anhang. (Ich habe zwischen den Scans jeweils den PC neu gestartet, hatte den USB Stick angeschlossen, den ich nach der ersten Anzeige des Wurms noch verwendet hatte und ich habe während der Scans AntiVir und den Window Defender deaktiviert.) Außer ein paar Toolbars wurde hierbei nichts gefunden. Auch der letzte Malware bytes Scan sowie der AVZ Scan (wobei ich wie gesagt nicht sicher bin, ob ich den korrekt durchgeführt habe) haben nichts mehr angezeigt. Also keine Spur mehr von Koobface und den anderen Trojanern. Kann ich daraus jetzt schließen, dass mein System wieder sauber ist, oder kann sich da trotzdem noch was versteckt haben? Danke! PS: Konnte die Live CD mit pcwVistaPE auf dem anderen, sauberen PC nicht erstellen, da dieser mit Windows XP läuft. Kann ich auch eine andere Live CD (Knoppix oder so) verwenden? Oder hat sich das jetzt sowieso erübrigt, da mein System sauber ist? Hab mir gestern ne externe Festplatte besorgt. Kann ich die jetzt schon bedenkenlos anschließen? |
|
01.12.2009, 14:58
| #9 |
| /// AVZ-Toolkit Guru | Worm.KoobFace, Trojan.BHO auf dem System :( Online scans bringen nichts. Mache bitte nichts was wir dir hier nicht explizit sagen.  Die Festplatte und auch andere USB Sticks sollten auf keinen Fall an den Rechner!!! Brenne dir eine ive CD (egal welche). Mit der startest du das System dann. Erst dann hängst du die Externe Platte drann. Sollte die schonmal vorher an dem infizierten Rechner drann gewesen sein dann musst du sie unbedingt formatieren!! Das gleiche gilt für USB Sticks. Von LiveCD starten, USB Speichermedium anschließen, formatieren und danach dann die wichtigsten Daten drauf. Ich gucke mir so lange die AVZ logs an.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
01.12.2009, 15:15
| #10 |
| /// AVZ-Toolkit Guru | Worm.KoobFace, Trojan.BHO auf dem System :( Erst nachdem du alle wichtigen Daten gesichert hast führst du folgende Schritte aus!! Führe mit AVZ folgendes Skript aus: Code:
ATTFilter begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Program Files\pdfforge Toolbar\SearchSettings.exe');
DeleteFileMask('C:\Users\media\AppData\Local\Temp', '*.*', true);
DeleteFileMask('C:\', '*.tmp', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 3, 3, true);
RebootWindows(true);
end.
Poste außerdem ein PrevX log. Prevx
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
01.12.2009, 18:50
| #11 |
| | Worm.KoobFace, Trojan.BHO auf dem System :( Hi Undoreal! Schön dich wieder zu sehen!!! =) Bin gerade noch mit der Datensicherung beschäftigt. mach danach nochmal die Scans und stell die log files dan gleich online. Ist es jetzt eigentlich ok wenn der AVZ scan so um die 18 bis 20 Stunden benötigt? Und muss ich vorher denn im Reiter Scan Scope alle Laufwerke anhaken? Ist es außerdem egal ob ich während des Scans online bin? Gruß und Danke! premier |
|
01.12.2009, 19:52
| #12 |
| /// AVZ-Toolkit Guru | Worm.KoobFace, Trojan.BHO auf dem System :( Während des Scans solltest du nichts am Rechner machen! Die Internet Verbindung kann ruhig bestehen bleiben während der Scan läuft. An den Einstellungen solltest du nichts ändern! Das der Scan sehr lange dauert ist OK. Hauptsache er hängt sich nicht auf. PrevX Vollversion oder nur die free?
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
01.12.2009, 20:52
| #13 |
| | Worm.KoobFace, Trojan.BHO auf dem System :( Denke mal, ich hol mir dan eher die Free Version. Hab grad noch ein ganz anderes Problem :\ Meine neue Externe Festplatte wird unter Betrieb der VistaPE Live CD nicht erkannt :x Andere Rechner hingegen erkennen die Festplatte sofort. Das heißt, ich kann meine Daten nicht sichern. Hat da jemand ne Idee? |
|
01.12.2009, 22:33
| #14 |
| /// AVZ-Toolkit Guru | Worm.KoobFace, Trojan.BHO auf dem System :( Brenne dir mal Knoppix auf eine CD und versuche ob die Platte dann erkannt wird. Ich mache da nur so einen Aufstand drumm weil ich auf keinen Fall will, dass du deine Arbeit verlierst.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
03.12.2009, 01:18
| #15 |
| | Worm.KoobFace, Trojan.BHO auf dem System :( Salut! Habs jetzt endllich geschafft die Daten zu sichern. Knoppix hatte die Festplatte erkannt, da konnte ich sie aber (trotz meinen 1337en Linux command skills ) nicht formatieren. Unter Ubuntu gings dann aber endlich! =)Hab mir jetzt auch heute noch ne Windows 7 Lizenz geholt. Das heißt, im Prinzip wäre ich jetzt auch bereit, das System komplett neu aufzusetzen. SOllte man da vorher trotzdem nochmal nen Scan machen? Gruß premier |
|
| Themen zu Worm.KoobFace, Trojan.BHO auf dem System :( |
| adware.vomba, adware.zango, antivir, browser, captcha, cc cleaner, content.ie5, desktop, excel, explorer, fehler, firefox, flash player, helper, home, installation, internet, koobface, malware.trace, malwarebytes' anti-malware, mp3, pdf, private message, problem, programm, registrierungsschlüssel, rundll, security, server, software, system, tr/crypt.zpack.gen, tr/dldr.small.anlx, tr/dropper.gen, trojan.bho, trojan.downloader, trojaner, trojaner gefunden, user agent, windows, worm.koobface, wurm |
Linear-Darstellung
