|
Plagegeister aller Art und deren Bekämpfung: Conficker und Kido gemeldet-->SystemcheckWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.12.2009, 05:55 | #1 | ||
| Conficker und Kido gemeldet-->Systemcheck Hey Helferteam, ich hatte vorhin den USB-Stick eine Kumpels angesteckt, und erhielt sofort die Meldung Zitat:
Ausgeführte Aktion hab ich dann "Zugriff verweigern" gewählt. Kurz danach hab ich vom Avira dieselbe Meldung nochmal bekommen. Daraufhin wählte ich Datei löschen. Prompt darauf bekam ich die Meldung Zitat:
Als ich dann den Ordner geschlossen hab und ihn kurz danach über den Arbeitsplatz wieder öffnete wurde der Kido mir wieder gemeldet. Also hab ich kurzerhand den Stick komplett formatiert. Dann war eigentlich Ruhe, auch wenn ich den Stick nochmal raus und wieder rein hab. Da ich aber weiss dass der Conficker nicht unbedingt der allernetteste Zeitgenosse ist hier meine Bitte dass sich mal kurz jemand meine Logs anschaut ob wirklich alles sauber ist... |
12.12.2009, 05:56 | #2 |
| Conficker und Kido gemeldet-->Systemcheck Hier das RSIT und Hijack-Log:
__________________Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by xxx at 2009-12-12 05:48:38 Microsoft Windows XP Professional Service Pack 3 System drive C: has 15 GB (39%) free of 38 GB Total RAM: 1023 MB (63% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 05:48:43, on 12.12.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\Explorer.EXE C:\Programme\avmwlanstick\wlangui.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINXP\system32\ctfmon.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINXP\system32\svchost.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe C:\Programme\OpenOffice.org 2.3\program\soffice.exe C:\Programme\OpenOffice.org 2.3\program\soffice.BIN C:\Service\Security\RSIT.exe C:\Programme\Trend Micro\HijackThis\xxx.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxxp://go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {076169AA-8C3D-4CFC-AC23-3ACA88FC21B5} (F-Secure Online Scanner Launcher) - hxxxp://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxxp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - hxxxp://ax.emsisoft.com/asquared.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe -- End of file - 4788 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-10-15 41760] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-10-15 73728] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "AVMWlanClient"=C:\Programme\avmwlanstick\wlangui.exe [2009-05-07 1904640] "avgnt"=C:\Programme\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "KernelFaultCheck"=C:\WINXP\system32\dumprep 0 -k [] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"=C:\WINXP\system32\ctfmon.exe [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe [2006-01-02 45056] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer] Mixer.exe /startup [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] C:\WINXP\system32\dumprep 0 -k [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe [2009-10-15 149280] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINXP\system32\Ati2evxx.dll [2006-05-03 61440] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINXP\system32\wpdshserviceobj.dll [2008-05-09 133632] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=43010000 "NoDriveAutoRun"=67108863 "HonorAutorunSetting"=1 "NoDrives"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveAutoRun"= "HonorAutorunSetting"= "NoDriveTypeAutoRun"= "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\eMule\emule.exe"="C:\Programme\eMule\emule.exe:*:Enabled:eMule" "C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6" "C:\WINXP\system32\sessmgr.exe"="C:\WINXP\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019" "C:\WINXP\system32\mmc.exe"="C:\WINXP\system32\mmc.exe:*:Disabled:Microsoft Management Console" "C:\Programme\VideoLAN\VLC\vlc.exe"="C:\Programme\VideoLAN\VLC\vlc.exe:*:Disabled:VLC media player" "C:\Service\Quake III Arena.129g.V01\Quake III Arena.129g.V01\QUAKE3.EXE"="C:\Service\Quake III Arena.129g.V01\Quake III Arena.129g.V01\QUAKE3.EXE:*:Enabled:QUAKE3" "C:\Programme\RealVNC\VNC4\winvnc4.exe"="C:\Programme\RealVNC\VNC4\winvnc4.exe:*:Enabled:VNC Server Free Edition for Win32" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" ======List of files/folders created in the last 1 months====== 2009-12-11 02:27:47 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\WinRAR 2009-12-11 02:27:07 ----D---- C:\Programme\WinRAR 2009-12-06 18:10:42 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\U3 2009-11-24 03:27:58 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Webroot 2009-11-14 06:16:37 ----D---- C:\Programme\RealVNC ======List of files/folders modified in the last 1 months====== 2009-12-12 05:47:41 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\OpenOffice.org2 2009-12-12 05:47:32 ----D---- C:\WINXP\system32\CatRoot2 2009-12-12 05:47:28 ----D---- C:\WINXP\Temp 2009-12-12 05:47:28 ----D---- C:\WINXP 2009-12-12 05:46:23 ----D---- C:\WINXP\system32\drivers 2009-12-12 05:46:23 ----D---- C:\WINXP\pchealth 2009-12-12 05:45:43 ----A---- C:\WINXP\SchedLgU.Txt 2009-12-12 04:48:47 ----D---- C:\Programme\eMule 2009-12-12 00:49:51 ----D---- C:\WINXP\Prefetch 2009-12-11 22:46:58 ----RD---- C:\Programme 2009-12-11 22:39:15 ----A---- C:\WINXP\wininit.ini 2009-12-11 22:30:11 ----D---- C:\Programme\Mozilla Firefox 2009-12-11 17:43:10 ----D---- C:\WINXP\system32 2009-12-11 17:43:10 ----A---- C:\WINXP\system32\PerfStringBackup.INI 2009-12-11 16:47:46 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\vlc 2009-12-11 16:30:37 ----D---- C:\Programme\Mozilla Thunderbird 2009-12-11 15:25:56 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\dvdcss 2009-12-11 05:01:03 ----D---- C:\WINXP\Debug 2009-12-11 04:48:37 ----ASH---- C:\boot.ini 2009-12-11 04:00:45 ----SHD---- C:\WINXP\Installer 2009-12-11 04:00:41 ----D---- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\WinZip 2009-12-09 03:39:22 ----D---- C:\Service 2009-12-09 02:50:32 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-12-06 16:26:03 ----A---- C:\WINXP\WirelessFTP.INI 2009-11-27 05:38:22 ----A---- C:\WINXP\audiovie.ini 2009-11-27 05:28:57 ----A---- C:\WINXP\WOC_CDDA.ini 2009-11-27 05:24:37 ----A---- C:\WINXP\cddabase.ini ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINXP\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 kbdhid;Tastatur-HID-Treiber; C:\WINXP\system32\DRIVERS\kbdhid.sys [2008-04-14 14720] R1 ssmdrv;ssmdrv; C:\WINXP\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520] R1 StarOpen;StarOpen; C:\WINXP\system32\drivers\StarOpen.sys [2009-05-27 5632] R1 Tosrfcom;Bluetooth RFCOMM; C:\WINXP\System32\Drivers\tosrfcom.sys [2005-08-01 64896] R2 avgntflt;avgntflt; C:\WINXP\system32\DRIVERS\avgntflt.sys [2009-12-08 56816] R3 ati2mtag;ati2mtag; C:\WINXP\system32\DRIVERS\ati2mtag.sys [2006-05-03 1540608] R3 cmpci;C-Media PCI Audio Driver (WDM); C:\WINXP\system32\drivers\cmaudio.sys [2002-11-25 380110] R3 FWLANUSB;AVM FRITZ!WLAN; C:\WINXP\system32\DRIVERS\fwlanusb.sys [2009-05-07 265088] R3 HidUsb;Microsoft HID Class-Treiber; C:\WINXP\system32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 mouhid;Maus-HID-Treiber; C:\WINXP\system32\DRIVERS\mouhid.sys [2001-08-18 12288] R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINXP\system32\drivers\msmpu401.sys [2001-08-17 2944] R3 tosporte;Bluetooth COM Port; C:\WINXP\system32\DRIVERS\tosporte.sys [2006-10-10 41600] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINXP\system32\DRIVERS\usbccgp.sys [2008-04-13 32128] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINXP\system32\DRIVERS\usbehci.sys [2008-04-14 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINXP\system32\DRIVERS\usbhub.sys [2008-04-14 59520] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINXP\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINXP\system32\DRIVERS\usbuhci.sys [2008-04-14 20608] S3 avmeject;AVM Eject; C:\WINXP\system32\drivers\avmeject.sys [2009-05-07 4352] S3 BthEnum;Bluetooth-Anforderungsblocktreiber; C:\WINXP\system32\DRIVERS\BthEnum.sys [2008-04-13 17024] S3 BthPan;Bluetooth-Gerät (PAN); C:\WINXP\system32\DRIVERS\bthpan.sys [2008-04-13 101120] S3 BTHPORT;Bluetooth-Porttreiber; C:\WINXP\System32\Drivers\BTHport.sys [2008-04-14 273024] S3 BTHUSB;USB-Treiber für Bluetooth-Funkgerät; C:\WINXP\System32\Drivers\BTHUSB.sys [2008-04-13 18944] S3 catchme;catchme; \??\C:\DOKUME~1\xxx\LOKALE~1\Temp\catchme.sys [] S3 E100B;Intel(R) PRO-Adaptertreiber; C:\WINXP\system32\DRIVERS\e100b325.sys [2001-08-18 117760] S3 RFCOMM;Bluetooth-Gerät (RFCOMM-Protokoll-TDI); C:\WINXP\system32\DRIVERS\rfcomm.sys [2008-04-13 59136] S3 tosrfbd;Bluetooth RFBUS; C:\WINXP\system32\DRIVERS\tosrfbd.sys [2006-11-30 113792] S3 tosrfbnp;Bluetooth RFBNEP; C:\WINXP\System32\Drivers\tosrfbnp.sys [2006-11-20 36480] S3 Tosrfhid;Bluetooth RFHID; C:\WINXP\system32\DRIVERS\Tosrfhid.sys [2006-10-05 73600] S3 tosrfnds;Bluetooth Personal Area Network; C:\WINXP\system32\DRIVERS\tosrfnds.sys [2005-01-06 18612] S3 TosRfSnd;Bluetooth Audio; C:\WINXP\system32\drivers\tosrfsnd.sys [2006-11-22 53504] S3 tosrfusb;Bluetooth USB Controller; C:\WINXP\system32\DRIVERS\tosrfusb.sys [2006-10-27 40960] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINXP\system32\DRIVERS\usbprint.sys [2008-04-13 25856] S3 usbscan;USB-Scannertreiber; C:\WINXP\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINXP\system32\DRIVERS\WudfPf.sys [2008-05-09 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINXP\system32\DRIVERS\wudfrd.sys [2008-05-09 82944] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Planer; C:\Programme\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Programme\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089] R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINXP\system32\Ati2evxx.exe [2006-05-03 413696] R2 AVM WLAN Connection Service;AVM WLAN Connection Service; C:\Programme\avmwlanstick\WlanNetService.exe [2009-05-07 368640] R2 BthServ;Bluetooth Support Service; C:\WINXP\system32\svchost.exe [2008-04-14 14336] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-10-15 153376] R2 TOSHIBA Bluetooth Service;TOSHIBA Bluetooth Service; C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe [2006-10-31 77824] S2 ATI Smart;ATI Smart; C:\WINXP\system32\ati2sgag.exe [2006-05-03 520192] S3 aspnet_state;ASP.NET State Service; C:\WINXP\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; c:\WINXP\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINXP\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2007-10-09 36864] S3 idsvc;Windows CardSpace; c:\WINXP\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2007-10-11 864256] S3 WinVNC4;VNC Server Version 4; C:\Programme\RealVNC\VNC4\WinVNC4.exe [2006-05-12 439248] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINXP\system32\svchost.exe [2008-04-14 14336] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINXP\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2007-10-11 122880] -----------------EOF----------------- Geändert von ReBlubb (12.12.2009 um 06:13 Uhr) |
12.12.2009, 05:58 | #3 | |
| Conficker und Kido gemeldet-->Systemcheck Und hier das Log von Anti-Malware:
__________________Zitat:
Ich hoffe mal ich hab euch soweit alles geliefert was ihr braucht :-) |
22.12.2009, 10:17 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Conficker und Kido gemeldet-->Systemcheck Hallo und Entschuldige die späte Bearbeitung. Bitte führe GMER aus und poste das Logfile, lade dir danach Lop S&D herunter. Führe Lop S&D.exe per Doppelklick aus. VISTA-User: Rechtsklick => Ausführen als Admin!! Wähle die Sprache deiner Wahl und anschließend die Option 1. Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).
__________________ Logfiles bitte immer in CODE-Tags posten |
27.12.2009, 22:25 | #5 | |
| Conficker und Kido gemeldet-->Systemcheck hey :-)danke für die freundliche Aufnahme :-) hat bei mir über die Feiertage jetzt auch länger gedauert... Hier das Log von Gmer: Zitat:
|
27.12.2009, 23:03 | #6 |
| Conficker und Kido gemeldet-->Systemcheck Und hier das Log von Lop: Code:
ATTFilter --------------------\\ Lop S&D 4.2.5-0 XP/Vista Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3 X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.00GHz ) BIOS : Award Modular BIOS v6.00PG USER : x ( Administrator ) BOOT : Normal boot Antivirus : AntiVir Desktop 9.0.1.32 (Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total:37 Go (Free:19 Go) D:\ (CD or DVD) E:\ (CD or DVD) F:\ (USB) - FAT32 - Total:3816 Mo (Free:3 Go) G:\ (Local Disk) - FAT32 - Total:465 Go (Free:265 Go) H:\ (USB) - FAT32 - Total:15260 Mo (Free:10 Go) I:\ (USB) - FAT32 - Total:3832 Mo (Free:3 Go) "C:\Lop SD" ( MAJ : 19-12-2008|23:40 ) Option : [1] ( 27.12.2009|22:37 ) --------------------\\ Ordner Verzeichnis unter ANWEND~1 [12.05.2009|16:58] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft [0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes [3|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei [12.05.2009|16:58] C:\DOKUME~1\ADMINI~1.LJ-\ANWEND~1\Microsoft [18.05.2009|14:43] C:\DOKUME~1\ADMINI~1.LJ-\ANWEND~1\Winamp [0|Datei(en)] C:\DOKUME~1\ADMINI~1.LJ-\ANWEND~1\Bytes [4|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1.LJ-\ANWEND~1\Bytes frei [25.08.2009|23:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe [01.10.2009|16:11] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira [17.05.2009|00:38] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CanonBJ [25.08.2009|18:25] C:\DOKUME~1\ALLUSE~1\ANWEND~1\F-Secure [23.05.2009|07:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab Setup Files [16.05.2009|05:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes [10.11.2009|02:32] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft [10.11.2009|01:18] C:\DOKUME~1\ALLUSE~1\ANWEND~1\PopCap Games [11.12.2009|04:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WinZip [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes [11|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei [12.05.2009|16:58] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes [3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei [11.12.2009|17:22] C:\DOKUME~1\LOCALS~1\ANWEND~1\Adobe [12.05.2009|17:04] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes [4|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei [12.05.2009|17:04] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes [3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei [03.06.2009|03:14] C:\DOKUME~1\x\ANWEND~1\Adobe [12.05.2009|17:57] C:\DOKUME~1\x\ANWEND~1\ATI [19.12.2009|20:31] C:\DOKUME~1\x\ANWEND~1\dvdcss [25.08.2009|23:45] C:\DOKUME~1\x\ANWEND~1\Foxit [06.07.2009|14:57] C:\DOKUME~1\x\ANWEND~1\ICQ [12.05.2009|17:06] C:\DOKUME~1\x\ANWEND~1\Identities [12.05.2009|17:26] C:\DOKUME~1\x\ANWEND~1\Macromedia [16.05.2009|05:40] C:\DOKUME~1\x\ANWEND~1\Malwarebytes [13.05.2009|01:38] C:\DOKUME~1\x\ANWEND~1\Microsoft [25.08.2009|13:12] C:\DOKUME~1\x\ANWEND~1\Mozilla [26.12.2009|13:26] C:\DOKUME~1\x\ANWEND~1\OpenOffice.org2 [02.09.2009|17:40] C:\DOKUME~1\x\ANWEND~1\ROXIO [27.05.2009|00:46] C:\DOKUME~1\x\ANWEND~1\Samsung [06.08.2009|00:30] C:\DOKUME~1\x\ANWEND~1\Sun [13.05.2009|00:47] C:\DOKUME~1\x\ANWEND~1\Talkback [05.06.2009|08:26] C:\DOKUME~1\x\ANWEND~1\Thunderbird [26.05.2009|23:49] C:\DOKUME~1\x\ANWEND~1\TOSHIBA [06.12.2009|19:42] C:\DOKUME~1\x\ANWEND~1\U3 [27.12.2009|18:45] C:\DOKUME~1\x\ANWEND~1\vlc [24.11.2009|03:27] C:\DOKUME~1\x\ANWEND~1\Webroot [13.05.2009|00:29] C:\DOKUME~1\x\ANWEND~1\Winamp [11.12.2009|02:27] C:\DOKUME~1\x\ANWEND~1\WinRAR [0|Datei(en)] C:\DOKUME~1\x\ANWEND~1\Bytes [24|Verzeichnis(se),] C:\DOKUME~1\x\ANWEND~1\Bytes frei --------------------\\ Geplante Aufgaben unter C:\WINXP\Tasks [27.12.2009 22:34][--ah-----] C:\WINXP\tasks\SA.DAT [14.04.2008 13:00][-r-h-----] C:\WINXP\tasks\desktop.ini --------------------\\ Ordner Verzeichnis unter C:\Programme [12.05.2009|17:54] C:\Programme\ATI Technologies [14.10.2009|00:45] C:\Programme\AusLogics Disk Defrag [01.10.2009|16:11] C:\Programme\Avira [13.05.2009|00:07] C:\Programme\AVM_update [13.05.2009|00:10] C:\Programme\avmwlanstick [17.05.2009|00:38] C:\Programme\CanonBJ [16.05.2009|05:22] C:\Programme\CCleaner [12.05.2009|16:54] C:\Programme\ComPlus Applications [27.05.2009|00:17] C:\Programme\DIFX [20.12.2009|23:54] C:\Programme\eMule [25.08.2009|23:44] C:\Programme\Foxit Software [06.11.2009|17:16] C:\Programme\Free PDF to Word Doc Converter [12.11.2009|17:53] C:\Programme\Gemeinsame Dateien [13.05.2009|18:56] C:\Programme\ICQ6.5 [27.05.2009|00:46] C:\Programme\InstallShield Installation Information [16.06.2009|07:03] C:\Programme\Internet Explorer [13.05.2009|00:25] C:\Programme\IrfanView [15.10.2009|12:47] C:\Programme\Java [09.12.2009|02:50] C:\Programme\Malwarebytes' Anti-Malware [13.05.2009|01:33] C:\Programme\Martin Professional [12.05.2009|16:54] C:\Programme\Messenger [12.05.2009|17:00] C:\Programme\microsoft frontpage [12.05.2009|16:56] C:\Programme\Movie Maker [27.12.2009|22:35] C:\Programme\Mozilla Firefox [23.12.2009|02:09] C:\Programme\Mozilla Thunderbird [12.05.2009|17:50] C:\Programme\MSBuild [12.05.2009|16:53] C:\Programme\MSN [12.05.2009|16:54] C:\Programme\MSN Gaming Zone [12.05.2009|16:56] C:\Programme\NetMeeting [12.05.2009|16:54] C:\Programme\Online Services [12.05.2009|16:57] C:\Programme\Online-Dienste [13.05.2009|01:31] C:\Programme\OpenOffice.org 2.3 [12.05.2009|16:56] C:\Programme\Outlook Express [10.11.2009|02:32] C:\Programme\PopCap Games [14.11.2009|06:16] C:\Programme\RealVNC [12.05.2009|17:50] C:\Programme\Reference Assemblies [09.06.2009|22:31] C:\Programme\Roxio [16.06.2009|16:17] C:\Programme\Toshiba [16.05.2009|06:01] C:\Programme\Trend Micro [12.05.2009|17:06] C:\Programme\Uninstall Information [06.10.2009|01:35] C:\Programme\VideoLAN [13.05.2009|00:29] C:\Programme\Winamp [12.05.2009|16:54] C:\Programme\Windows Media Connect 2 [12.05.2009|17:03] C:\Programme\Windows Media Player [12.05.2009|16:54] C:\Programme\Windows NT [12.05.2009|16:57] C:\Programme\WindowsUpdate [11.12.2009|02:27] C:\Programme\WinRAR [12.05.2009|17:00] C:\Programme\xerox [27.06.2009|18:45] C:\Programme\XMedia Recode [0|Datei(en)] C:\Programme\Bytes [51|Verzeichnis(se),] C:\Programme\Bytes frei --------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien [25.08.2009|23:51] C:\Programme\Gemeinsame Dateien\Adobe [12.05.2009|16:56] C:\Programme\Gemeinsame Dateien\Dienste [12.05.2009|17:24] C:\Programme\Gemeinsame Dateien\InstallShield [01.10.2009|16:06] C:\Programme\Gemeinsame Dateien\Microsoft Shared [12.05.2009|16:56] C:\Programme\Gemeinsame Dateien\MSSoap [12.05.2009|17:43] C:\Programme\Gemeinsame Dateien\ODBC [09.06.2009|22:31] C:\Programme\Gemeinsame Dateien\ROXIO [09.06.2009|22:31] C:\Programme\Gemeinsame Dateien\Roxio Shared [12.05.2009|17:43] C:\Programme\Gemeinsame Dateien\SpeechEngines [12.05.2009|16:56] C:\Programme\Gemeinsame Dateien\System [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes [12|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei --------------------\\ Process ( 32 Processes ) ... OK ! --------------------\\ Ueberpruefung mit S_Lop Kein Lop Ordner gefunden ! --------------------\\ Suche nach Lop Dateien - Ordnern C:\DOKUME~1\Olli\Cookies\olli@advertising[1].txt --------------------\\ Suche innerhalb der Registry ..... OK ! --------------------\\ Ueberpruefung der Hosts Datei Hosts Datei SAUBER --------------------\\ Suche nach verborgenen Dateien mit Catchme catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-12-27 22:39:42 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden files: 0 --------------------\\ Suche nach anderen Infektionen --------------------\\ Cracks & Keygens .. C:\DOKUME~1\Olli\Eigene Dateien\Sound\Elektro\Altes\Hardstyle & Techno\Showtek - Brain Crackin.mp3 [F:2][D:4]-> C:\DOKUME~1\x\LOKALE~1\Temp [F:47][D:0]-> C:\DOKUME~1\x\Cookies [F:1129][D:4]-> C:\DOKUME~1\x\LOKALE~1\TEMPOR~1\content.IE5 1 - "C:\Lop SD\LopR_1.txt" - 27.12.2009|22:40 - Option : [1] --------------------\\ Scan beendet um 22:40:45 Soweit ich weiss ist er selber ja kein Virus oder reines Schadprogramm, sondern lädt halt erstmal seine Kumpels runter. Ausserdem ein kurzes "Update": Nach meinem ersten Hilferuf hier war ne Weile Ruhe.Am Rechner hab ich keine Symptome gehabt. 2 Wochen später hab ich den Stick wieder rein- plötzlich wieder dieselbe Meldung vom Virenscanner und ihn wieder gekillt. Des Rätsels Lösung: Der Stick war in der Zwischenzeit an einem Rechner, mit dem ich eine Lichtanlage steuere.Der hat keine Internetanbindung und auch nix drauf ausser dem Betriebssystem und der Steuerungssoftware,aber ich hatte den Stick, nachdem ich ihn von dem Kumpel hatte, auch ganz kurz da drin.Hatte ich bei meiner Erstinfektion natürlich komplett vergessen.Und ich hatte auch vergessen, dass ich bei meiner Erstinfektion hier noch nen anderen Stick in meinem eigenen Rechner hier hatte...den hatte ich jetzt 3 Wochen nicht drin, aber als ich den vorhin rein hab hat es wieder Alarm gegeben :-) Die jetzigen Scans habe ich mit allen Sticks gemacht. Und meine Frage des Abends: Gibt es eine Möglichkeit, von einem USB-Stick aus den infizierten Steuerungsrechner zu verarzten? Der Wurm selbst sollte an diesem Rechner ja nix anstellen können, da kein Internet, aber es ist halt lästig jedesmal den USB-Stick wieder putzen zu müssen. |
28.12.2009, 08:11 | #7 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Conficker und Kido gemeldet-->SystemcheckZitat:
Deine geposteten Logs sehen soweit ok aus und wenn ich Dich richtig verstanden habe ist dieser PC auch wieder ok.
__________________ Logfiles bitte immer in CODE-Tags posten |
03.01.2010, 15:40 | #8 | |
| Conficker und Kido gemeldet-->SystemcheckZitat:
|
Themen zu Conficker und Kido gemeldet-->Systemcheck |
aktion, arbeitsplatz, autorun.inf, avira, conficker, datei, dieselbe, gefunde, geschlossen, helfer, jwgkvsq.vmx, komplett, meldung, ordner, programm, recycler, sauber, sofort, systemcheck, teste, unbedingt, unerwünschtes, unerwünschtes programm, verweigern, virus, wirklich, worm/conficker.y.14, worm/kido.ih.54, zugriff |