iwebcal.dll Rootkit?

popeye2 · 17.01.2012, 15:33

was könnte das sein?
MBAM wurde extrem langsam bei etwa 38000 Dateien, deshalb habe ich den Prozeß abgebrochen. Nachdem Neustart wird nichts mehr gefunden, MBAM wird aber wieder extrem langsam ( aber nur 1% CPU Last)
Browser wird teilweise umgelenkt. (evtl mediashifting?)
Grüße
P.
----------------log---------------------------
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.17.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
xxx :: yyy [Administrator]

17.01.2012 14:17:06
mbam-log-2012-01-17 (14-17-06).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 40376
Laufzeit: 11 Minute(n), 1 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 1
C:\WINDOWS\system32\iwebcal.dll (Rootkit.0Access) -> Löschen bei Neustart.

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\WINDOWS\system32\iwebcal.dll (Rootkit.0Access) -> Löschen bei Neustart.

(Ende)

markusg · 17.01.2012, 15:34

hi,

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
Tool

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Hinweis:
Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

popeye2 · 17.01.2012, 16:16

zuerst musste ich die Microsoft wiederherstellungskonsole installieren (lassen)
dann kam ein popup mit rootkit zero access (oder so ähnlich), dass sich über den tcp/Ip stack eingenistet habe. Dann noch ein Hinweis dass es schwierig wird und man evtl. ein zweites mal scannen muss.
Das blaue scan fenster läuft aber noch

popeye2 · 17.01.2012, 16:18

neuer popup: combo fix hat die Anwesenheit von Rootkitaktivitäten festgestellt und muss den PC neu starten.

markusg · 17.01.2012, 16:33

hi, ich brauch kein minütliches update :-)
führe einfach die anweisungen aus und schreib von mir aus am ende ne zusammenfassung.

popeye2 · 17.01.2012, 17:18

Hi,
war etwas verunsichert, da ich Combofix nicht kannte.
Hier die logdatei
danke und Grüße
P.

----log-------------
Combofix Logfile:

Code:

ATTFilter

ComboFix 12-01-17.01 - whw 17.01.2012  16:38:41.3.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1684 [GMT 1:00]
ausgeführt von:: K:\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe\U\00000001.@
c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe\U\000000c0.@
c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe\U\000000cb.@
c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe\U\000000cf.@
c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe\U\80000000.@
c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe\U\800000c0.@
c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe\U\800000cb.@
c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe\U\800000cf.@
c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe\X
c:\windows\$NtUninstallKB3255$
c:\windows\$NtUninstallKB3255$\3725499912
c:\windows\$NtUninstallKB3255$\485945278\@
c:\windows\$NtUninstallKB3255$\485945278\L\yrwgxlni
c:\windows\$NtUninstallKB3255$\485945278\loader.tlb
c:\windows\$NtUninstallKB3255$\485945278\U\@00000001
c:\windows\$NtUninstallKB3255$\485945278\U\@000000c0
c:\windows\$NtUninstallKB3255$\485945278\U\@000000cb
c:\windows\$NtUninstallKB3255$\485945278\U\@000000cf
c:\windows\$NtUninstallKB3255$\485945278\U\@80000000
c:\windows\$NtUninstallKB3255$\485945278\U\@800000c0
c:\windows\$NtUninstallKB3255$\485945278\U\@800000cb
c:\windows\$NtUninstallKB3255$\485945278\U\@800000cf
c:\windows\cres1100.exe
c:\windows\Downloaded Installations\BMP
c:\windows\Downloaded Installations\BMP\{3EC80B16-01FE-4E08-846E-F6B92F202CBF}\1031.MST
c:\windows\Downloaded Installations\BMP\{3EC80B16-01FE-4E08-846E-F6B92F202CBF}\BMP.msi
c:\windows\system32\mbackmonitor.dll
c:\windows\system32\SET54.tmp
c:\windows\system32\SET58.tmp
c:\windows\system32\SET59.tmp
c:\windows\system32\SET60.tmp
c:\windows\system32\UNWISE.EXE
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_PciBus
-------\Service_PciBus
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-12-17 bis 2012-01-17  ))))))))))))))))))))))))))))))
.
.
2012-01-17 15:53 . 2012-01-17 15:53	118784	----a-w-	c:\windows\system32\chg.exe
2012-01-17 13:08 . 2012-01-17 13:08	--------	d-----w-	c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\PCHealth
2012-01-16 11:50 . 2012-01-16 11:50	2106216	----a-w-	c:\programme\Mozilla Firefox\D3DCompiler_43.dll
2012-01-16 11:50 . 2012-01-16 11:50	1998168	----a-w-	c:\programme\Mozilla Firefox\d3dx9_43.dll
2012-01-16 11:50 . 2012-01-16 11:50	121816	----a-w-	c:\programme\Mozilla Firefox\components\browsercomps.dll
2012-01-16 11:50 . 2012-01-16 11:50	97240	----a-w-	c:\programme\Mozilla Firefox\libEGL.dll
2012-01-16 11:50 . 2012-01-16 11:50	814040	----a-w-	c:\programme\Mozilla Firefox\mozsqlite3.dll
2012-01-16 11:50 . 2012-01-16 11:50	626688	----a-w-	c:\programme\Mozilla Firefox\msvcr80.dll
2012-01-16 11:50 . 2012-01-16 11:50	548864	----a-w-	c:\programme\Mozilla Firefox\msvcp80.dll
2012-01-16 11:50 . 2012-01-16 11:50	486360	----a-w-	c:\programme\Mozilla Firefox\libGLESv2.dll
2012-01-16 11:50 . 2012-01-16 11:50	479232	----a-w-	c:\programme\Mozilla Firefox\msvcm80.dll
2012-01-16 11:50 . 2012-01-16 11:50	43992	----a-w-	c:\programme\Mozilla Firefox\mozutils.dll
2012-01-16 11:50 . 2012-01-16 11:50	2124760	----a-w-	c:\programme\Mozilla Firefox\mozjs.dll
2012-01-16 11:50 . 2012-01-16 11:50	15832	----a-w-	c:\programme\Mozilla Firefox\mozalloc.dll
2012-01-12 22:46 . 2012-01-17 13:30	0	--sha-w-	c:\windows\system32\dds_log_trash.cmd
2012-01-12 10:18 . 2012-01-12 10:18	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2012-01-12 10:18 . 2012-01-12 10:18	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2012-01-12 10:13 . 2012-01-17 15:48	--------	d-sh--w-	c:\dokumente und einstellungen\whw\Lokale Einstellungen\Anwendungsdaten\1cf6efbe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-01-17 15:57 . 2008-11-19 10:49	4382	----a-w-	c:\windows\system32\PerfStringBackup.TMP
2011-12-10 14:24 . 2011-03-15 14:06	20464	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-11-29 08:45 . 2011-11-29 08:45	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-25 21:57 . 2006-02-28 01:00	293888	----a-w-	c:\windows\system32\winsrv.dll
2011-11-23 14:40 . 2006-02-28 01:00	1859712	----a-w-	c:\windows\system32\win32k.sys
2011-11-20 06:12 . 2006-02-28 01:00	61952	----a-w-	c:\windows\system32\packager.exe
2011-11-04 19:13 . 2006-02-28 01:00	916992	----a-w-	c:\windows\system32\wininet.dll
2011-11-04 19:13 . 2006-02-28 01:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-11-04 19:13 . 2006-02-28 01:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2011-11-04 11:23 . 2006-02-28 01:00	385024	----a-w-	c:\windows\system32\html.iec
2011-11-03 15:28 . 2006-02-28 01:00	387072	----a-w-	c:\windows\system32\qdvd.dll
2011-11-03 15:28 . 2006-02-28 01:00	1297920	----a-w-	c:\windows\system32\quartz.dll
2011-11-01 16:07 . 2006-02-28 01:00	1288704	----a-w-	c:\windows\system32\ole32.dll
2011-10-28 05:31 . 2006-02-28 01:00	33280	----a-w-	c:\windows\system32\csrsrv.dll
2011-10-26 10:49 . 2006-02-28 01:00	2151424	----a-w-	c:\windows\system32\ntoskrnl.exe
2011-10-26 10:49 . 2006-02-28 01:00	2029568	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-01-16 11:50 . 2012-01-16 11:50	121816	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-21 8466432]
"IAAnotif"="c:\programme\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904]
"nwiz"="nwiz.exe" [2007-09-21 1626112]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2006-10-08 127036]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\SO\Startmenü\Programme\Autostart\
OpenOffice.org 2.2.lnk - c:\programme\OpenOffice.org 2.2\program\quickstart.exe [N/A]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
AVer HID Receiver.lnk - c:\programme\Gemeinsame Dateien\AVerMedia\AVerQuick\AVerHIDReceiver.exe [N/A]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk /r \??\f:\0autocheck autochk *\0lsdelete
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2008-09-24 11:57	2254120	----a-w-	c:\programme\Nero\Nero BackItUp 4\NBKeyScan.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\SMINST\\Scheduler.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\FileZilla\\FileZilla.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Pinnacle\\Studio 12\\Programs\\RM.exe"=
"c:\\Programme\\Pinnacle\\Studio 12\\Programs\\Studio.exe"=
"c:\\Programme\\Pinnacle\\Studio 12\\Programs\\umi.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2799:UDP"= 2799:UDP:Altova License Metering Port (UDP)
"2799:TCP"= 2799:TCP:Altova License Metering Port (TCP)
.
R2 DtapiService;DTAPI Service;c:\programme\Gemeinsame Dateien\DekTec\DtapiService\DtapiService.exe [26.11.2010 16:37 2928640]
R2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [07.01.2010 15:07 135664]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [15.07.2008 07:40 6016]
R3 Dta1xx;Dta1xx;c:\windows\system32\drivers\Dta1xx.sys [12.07.2007 15:16 108440]
S3 alusbDVB;ALUSBDVB Service;c:\windows\system32\drivers\ATUSBVID.sys [15.09.2009 09:47 28416]
S3 BENDER;Pinnacle AV/DV2 Capture;c:\windows\system32\drivers\bender.sys [24.08.2009 10:04 203264]
S3 C3LWebServer;C3L Webserver;c:\programme\C3L-Install\C3L-Webserver.exe [17.09.2005 19:30 53248]
S3 Cap7146_DVB;TechnoTrend BDA/DVB Capture;c:\windows\system32\drivers\TTCap46n.sys [16.10.2008 15:26 81024]
S3 CyUsb;Broadcom Generic USB Driver;c:\windows\system32\drivers\BcmUSB.sys [30.07.2008 11:51 31872]
S3 DCamUSB20;Crescentec DC-1100;c:\windows\system32\Drivers\CsMini20.sys --> c:\windows\system32\Drivers\CsMini20.sys [?]
S3 DirectIO;DirectIO;c:\windows\system32\Drivers\DirectIO.sys --> c:\windows\system32\Drivers\DirectIO.sys [?]
S3 Dtu2xx;Dtu2xx Driver;c:\windows\system32\drivers\Dtu2xx.sys [12.05.2010 13:06 1177240]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [07.01.2010 15:07 135664]
S3 IwUSB;IwUSB Driver;c:\windows\system32\Drivers\IwUSB.sys --> c:\windows\system32\Drivers\IwUSB.sys [?]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [29.06.2007 01:01 42512]
S3 PPJoyBus;Parallel Port Joystick Bus device driver;c:\windows\system32\drivers\PPJoyBus.sys [23.01.2004 16:33 13952]
S3 PPortJoystick;Parallel Port Joystick device driver;c:\windows\system32\drivers\PPortJoy.sys [23.01.2004 16:32 28800]
S3 PTDVB;TechnoTrend BDA/DVB Tuner;c:\windows\system32\drivers\TTFEDVBn.sys [16.10.2008 15:26 253952]
S3 T32USB;TRACE32 USB Driver;c:\windows\system32\drivers\t32usb.sys [05.05.2009 12:44 26808]
S3 TRIDCap;AVerMedia service;c:\windows\system32\drivers\AVerTM62.sys [12.04.2010 09:59 607488]
S3 ttBudget2;TechnoTrend BDA/DVB (BDA);c:\windows\system32\drivers\ttBudget2.sys [20.10.2008 09:27 421760]
S3 VirtDisk;XSS Virtual Disk Driver;c:\windows\SMINST\virtdisk.sys [22.03.2007 12:21 57344]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
GcKernel
PciBus
avgems
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-07-30 08:39	451872	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-01-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-07 14:07]
.
2012-01-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-07 14:07]
.
2012-01-17 c:\windows\Tasks\User_Feed_Synchronization-{315F0BC0-2C62-46B4-97FB-AE20A6569633}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
TCP: Interfaces\{25CAFF76-1A71-475A-8E91-33A362967EF3}: NameServer = 213.73.91.35,192.168.0.254
FF - ProfilePath - c:\dokumente und einstellungen\whw\Anwendungsdaten\Mozilla\Firefox\Profiles\8pjiir2i.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.heise.de/
FF - prefs.js: network.proxy.http - 192.168.0.198
FF - prefs.js: network.proxy.http_port - 8080
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Hardlock Gerätetreiber - c:\windows\system32\UNWISE.EXE
AddRemove-KB923789 - c:\windows\system32\MacroMed\Flash\genuinst.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-01-17 17:01
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3192)
c:\windows\system32\nview.dll
c:\windows\system32\NVWRSDE.DLL
c:\windows\system32\webcheck.dll
c:\windows\system32\nvwddi.dll
c:\windows\system32\mshtml.dll
c:\windows\system32\msls31.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\programme\Nero\Nero BackItUp 4\NBShell.dll
c:\programme\Malwarebytes' Anti-Malware\mbamext.dll
c:\programme\Quick PDF Tools\QuickPDFTools.dll
c:\programme\7-Zip\7-zip.dll
c:\windows\System32\DLA\DLASHX_W.DLL
c:\windows\system32\DLAAPI_W.DLL
c:\windows\System32\DLA\DLACResW.dll
c:\programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
c:\programme\OpenOffice.org 3\Basis\program\shlxthdl\stlport_vc7145.dll
c:\programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Nero\Nero BackItUp 4\IoctlSvc.exe
c:\programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\taskmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-01-17  17:05:42 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-01-17 16:05
ComboFix2.txt  2008-11-19 11:51
.
Vor Suchlauf: 36 Verzeichnis(se), 141.569.687.552 Bytes frei
Nach Suchlauf: 39 Verzeichnis(se), 143.419.371.520 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - FA5B4CCA78F0048CA1B64DD23596ED82

--- --- ---

markusg · 17.01.2012, 17:29

sorry dann war das ok so.
öffne mal bitte c: qoobox rechtsklick quarantain, mit winrar zip oder anderem archivierungsprogramm packen und archiv hochladen.
http://upload.trojaner-board.de/]Uploadchannel

popeye2 · 17.01.2012, 18:24

hab ich gemacht.
Obiger Link hatte wohl einen Dipbveeler

Ist der Rechner jetzt clean oder war das bisher nur Pflicht(Analyse) und die Kür kommt noch?
Danke soweit
Gruß
P.

markusg · 17.01.2012, 18:40

ja hatte er.
danke
nutzt du das system für onlinebanking einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches?

popeye2 · 17.01.2012, 18:44

überwiegend beruflich.
Kann man noch erkennen wann die Infektion erfolgte?
Dann werde ich mal die Firefox chronik durchwühlen wo ich das aufgefangen habe. Diese Datei BMP.msi im log sieht ja sehr verdächtig aus, war aber sicher von einem anderen Benutzer wie von mir angeklickt worden

markusg · 17.01.2012, 18:52

kann man nicht erkennen
aber du kannst ja mal im verlauf gucken, wenn du was findest dann als private nachicht an mich.
das system muss dann aber auf jeden fall formatiert und neu aufgesetzt und dann abgesichert werden.

markusg · 17.01.2012, 19:00

hast du nicht gesagt du hättest mir den ordner gepackt hochgeladen? quarantain meine ich, da ist nichts.
File-Upload.net - Ihr kostenloser File Hoster!
dort hochladen, link als private nachicht an mich.

popeye2 · 18.01.2012, 08:41

hochgeladen,schon,
weiß aber nicht ob es erfolgreich war (20MB)
Grüße
P.
PS. schicke es nochmal über filehoster und link per pm

markusg · 18.01.2012, 12:07

hi, also, wie gesagt, das system muss neu aufgesetzt werden, die infektion wird wohl irgendwann dieses jahr statt gefunden haben
und danke für den upload

popeye2 · 18.01.2012, 18:45

Ich habe zu danken für die schnelle Hilfe.
Werde mal versuchen, die nicht mehr funktionierenden Programme erneut zu installieren. Wäre sehr ärgerlich bei einer Workstation mit diversen Software Lizenzdateien, das System neu aufzusetzen (ich müsste vermutlich einige neu anfordern).
Soweit ich die Meldungen der Antivirenhersteller verstanden habe, überschreibt der 0-access Rootkit wahllos Windowssystemprogramme, die nach dem Cleanen natürlich nicht mehr zur Verfügung stehen. Werde das mal pragmatisch angehen und sehen was zu retten ist.

iwebcal.dll Rootkit?

Log-Analyse und Auswertung: iwebcal.dll Rootkit?