| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Hackingopfer? Trojaner BundespolizeiWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
04.07.2011, 20:46
| #31 |
 |  Hackingopfer? Trojaner Bundespolizei Nabend Arne, So ich habe mich nach Kräften bemüht auch diesen Deinen Anweisungen zu folgen, aber ich glaube ich habe zwei Böcke drin: 1. Combo fix ist automatisch in dem Ordner "Downloads" abgespeichert worden. Ich habe es dann zwar rübergezogen auf den Desktop und auch von da aus gestartet aber ist es damit nicht so wirksam? 2. Kurz vor dem Ende des Ablaufs hat sich, trotzdem ich alle Programme incl. Antivir und co deaktiviert habe auf einmal der avira updater eingeschaltet. ICh habe ihn zwar sofort abgebrochen aber ob es gestört hat sagt Dir vermutlich der Log (Schwitz)... Unabhängig davon ist alles so durchgelaufen wie in dem Tutorial beschrieben. Hier ist der Log: Combofix Logfile: Code:
ATTFilter ComboFix 11-07-03.04 - Rudi 04.07.2011 21:01:53.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.498 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Rudi\Eigene Dateien\Downloads\ComboFix.exe
AV: Avira Premium Security Suite *Disabled/Updated* {11638345-E4FC-4BEE-BB73-EC754659C5F6}
FW: Avira Firewall *Disabled* {11638345-E4FC-4BEE-BB73-EC754659C5F6}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Katharina\WINDOWS
c:\windows\IsUn0407.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-06-04 bis 2011-07-04 ))))))))))))))))))))))))))))))
.
.
2011-07-02 10:25 . 2011-07-02 10:25 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-07-01 21:00 . 2011-07-01 21:00 -------- d-----w- c:\dokumente und einstellungen\Rudi\Anwendungsdaten\Malwarebytes
2011-07-01 20:59 . 2011-05-29 07:11 39984 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-01 20:59 . 2011-07-01 20:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-07-01 20:59 . 2011-05-29 07:11 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-01 20:59 . 2011-07-01 20:59 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-07-01 20:57 . 2010-09-18 06:52 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll
2011-07-01 20:48 . 2010-08-23 16:11 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll
2011-07-01 20:44 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2011-07-01 20:43 . 2011-04-21 13:37 105472 -c----w- c:\windows\system32\dllcache\mup.sys
2011-07-01 20:29 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
2011-07-01 04:58 . 2011-07-01 04:58 -------- d-----w- C:\_OTL
2011-06-29 17:39 . 2011-06-29 22:41 -------- d---a-w- C:\Kaspersky Rescue Disk 10.0
2011-06-23 11:15 . 2011-06-23 11:15 2106216 ----a-w- c:\programme\Mozilla Firefox\D3DCompiler_43.dll
2011-06-23 11:15 . 2011-06-23 11:15 1998168 ----a-w- c:\programme\Mozilla Firefox\d3dx9_43.dll
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-02 15:31 . 2007-12-02 10:12 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-05-01 18:24 . 2011-05-01 18:24 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-05-01 18:24 . 2008-01-20 13:14 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-04-29 17:25 . 2004-08-10 12:00 151552 ----a-w- c:\windows\system32\schannel.dll
2011-04-29 16:19 . 2004-08-10 12:00 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-04-25 16:05 . 2004-08-10 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2011-04-25 16:05 . 2004-08-10 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-04-25 16:05 . 2004-08-10 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-04-25 12:01 . 2004-08-10 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-04-21 13:37 . 2004-08-10 12:00 105472 ----a-w- c:\windows\system32\drivers\mup.sys
2011-06-23 11:15 . 2011-03-27 06:49 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-12-19 16062464]
"avgnt"="c:\programme\Avira\Avira Premium Security Suite\avgnt.exe" [2008-06-12 266497]
"V0270Mon.exe"="c:\windows\V0270Mon.exe" [2006-09-26 32768]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-08-20 1164584]
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2006-05-16 213936]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"T-Online_Software_6\WLAN-Access Finder"="c:\programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2008-04-08 671796]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R0 DiskSec;Magix Volume Filter Driver;c:\windows\system32\drivers\disksec.sys [23.03.2009 21:36 14208]
R1 avfwot;avfwot;c:\windows\system32\drivers\avfwot.sys [05.12.2008 00:37 71592]
R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [02.12.2007 13:05 11904]
R2 AntiVirFirewallService;Avira Premium Security Suite Firewall;c:\programme\Avira\Avira Premium Security Suite\avfwsvc.exe [05.12.2008 00:37 344321]
R2 AntiVirMailService;Avira Premium Security Suite MailGuard;c:\programme\Avira\Avira Premium Security Suite\avmailc.exe [05.12.2008 00:37 164097]
R2 antivirwebservice;Avira Premium Security Suite WebGuard;c:\programme\Avira\Avira Premium Security Suite\avwebgrd.exe [05.12.2008 00:37 258305]
R2 AVEService;Avira Premium Security Suite MailGuard Hilfsdienst;c:\programme\Avira\Avira Premium Security Suite\avesvc.exe [05.12.2008 00:37 41217]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [18.08.2008 21:37 61440]
R3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\drivers\avfwim.sys [05.12.2008 00:37 71464]
R3 hcw88bda;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [02.12.2007 13:05 207872]
R3 hcw88rc5;Hauppauge WinTV 88x IR Decoder;c:\windows\system32\drivers\hcw88rc5.sys [02.12.2007 13:05 11776]
R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [02.12.2007 13:05 299776]
R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [02.12.2007 13:05 498176]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\hcw88bar.sys [02.12.2007 13:05 23552]
R3 VF0270Dev;Live! Cam Optia;c:\windows\system32\drivers\V0270Dev.sys [09.02.2008 21:57 225632]
R3 VF0270Vfx;VF0270 Video FX;c:\windows\system32\drivers\V0270Vfx.sys [09.02.2008 21:57 6912]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler; [x]
S2 gupdate1c99e82167d8352;Google Update Service (gupdate1c99e82167d8352);c:\programme\Google\Update\GoogleUpdate.exe [06.03.2009 19:36 133104]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [16.03.2008 19:52 15104]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [06.03.2009 19:36 133104]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [18.08.2008 21:37 17280]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [01.07.2011 22:59 39984]
S3 MHIKEY10;MHIKEY10;c:\windows\system32\drivers\MHIKEY10.sys [06.01.2009 23:20 51072]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv
.
Inhalt des "geplante Tasks" Ordners
.
2009-04-30 c:\windows\Tasks\FRU Task 2003-04-10 00:56ewlett-Packard2003-04-10 00:56p psc 1200 series272A572217594EBCF1CEE215E352B92AD073FDE4230337584.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 16:56]
.
2011-07-04 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-06 17:26]
.
2011-07-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-06 17:35]
.
2011-07-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-03-06 17:35]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = https://webmail.bonifatius-lingen.de/redir.nsf
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: avsda.dll
TCP: DhcpNameServer = 192.168.2.1
DPF: {0F2AAAE3-7E9E-4B64-AB5D-1CA24C6ACB9C} - hxxps://webmail.bonifatius-lingen.de/dwa85W.cab
FF - ProfilePath - c:\dokumente und einstellungen\Rudi\Anwendungsdaten\Mozilla\Firefox\Profiles\usxiuzt4.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxps://webmail.bonifatius-lingen.de/redir.nsf
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Abenteuer auf dem Reiterhof - c:\windows\IsUn0407.exe
AddRemove-Benutzerhandbuch für Creative Live! Cam Optia German - c:\windows\IsUn0407.exe
AddRemove-InterVideo WinDVD - c:\windows\IsUn0407.exe
AddRemove-Lernpaket - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-07-04 21:07
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1417001333-963894560-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1140)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'lsass.exe'(1196)
c:\windows\system32\avsda.dll
.
Zeit der Fertigstellung: 2011-07-04 21:12:24
ComboFix-quarantined-files.txt 2011-07-04 19:12
.
Vor Suchlauf: 13 Verzeichnis(se), 120.037.376.000 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 120.293.097.472 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
.
- - End Of File - - 85E1EBD8D3C7AD84D2EB772BEC3A1C7E
Und - was sagt der Chef jetzt? Einreißen und neu machen oder passt es? Gruß, Rudi |
|
04.07.2011, 20:47
| #32 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Hackingopfer? Trojaner Bundespolizei Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
__________________GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ |
|
04.07.2011, 22:45
| #34 |
| | Hackingopfer? Trojaner Bundespolizei Na, sieht so aus als poste ich die entsprechenden files erst morgen. Guats Nächtle. Gruß, Rudi |
|
| Themen zu Hackingopfer? Trojaner Bundespolizei |
| avira, bildschirm, bildschirm weiß, booten, bundespolizei-virus, checkliste, dringend, ebay, firefox, forum, fremdnutzung, hacking, internet, kaspersky, lan-kabel, lösung, mozilla, netzwerkverbindungen, popup, rechner, rescue cd, scan, seite, seiten, startseite, suche, telekom, trojaner, trojaner bundespolizei, verbindung, warum, wichtig, windows, windows xp |
Linear-Darstellung
