|
Log-Analyse und Auswertung: Trojaner? TR/Kazy.okd? Fehlalarm?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.02.2012, 20:09 | #1 |
| Trojaner? TR/Kazy.okd? Fehlalarm? Hallo, folgendes Problem: All meine online-Banking Zugänge bei verschiedenen Kreditinstituten wurden gesperrt wegen des Verdachts auf einen Trojaner-Befall. Angeblich wurden KontoNr. und BankingNr. unverschlüsselt im Internet gefunden. Auffälligkeiten hatte der PC lediglich folgende: vor ca. einem Monat wurde von Avira in einer Email der Virus TR/Kazy.okd gefunden. Der Benutzer hat nach dem Avira Log den Zugriff einmal erlaubt, in derselben Sekunde (unklar, wie das möglich ist) den Zugriff verboten. Das System startete (in der msconfig sichtbar) eine mir verdächtige Datei namens "mixerymemm.exe". Die Datei lag auf dem Pfad: "c:\users\AppData\Roaming\ Die Datei ließ sich nach Deaktivieren des Autostarteintrags und Neustart des Systems problemlos löschen. Zugleich gab es in der msconfig/Systemstart noch die Anweisung, die Datei "montq.exe" in demselben Verzeichnis zu starten. Diese Datei fehlte jedoch. Die Registry-Einträge hierzu (Run) habe ich gelöscht. Scans mit Avira, Malwarebyte, Spybot S & D, Trojan-Remover und Trojan-Hunter waren negativ. Wäre sehr dankbar, wenn jemand überprüfen könnte, ob das System tatsächlich sauber ist. Gegen einen Fehlalarm bei den Banken spricht, dass 3 Institute die Konten gesperrt haben. Der Rechner ist in einem Netzwerk, die Konten werden aber nur von diesem Rechner abgefragt. Jetzt die Logs: . DDS (Ver_2011-08-26.01) - NTFSx86 Internet Explorer: 9.0.8112.16421 BrowserJavaVersion: 1.6.0_31 Run by user at 19:24:07 on 2012-02-24 Microsoft Windows 7 Professional 6.1.7601.1.1252.49.1031.18.3325.1982 [GMT 1:00] . AV: AntiVir Desktop *Enabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7} SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} SP: AntiVir Desktop *Enabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A} . ============== Running Processes =============== . C:\Windows\system32\wininit.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe -k DcomLaunch C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Avira\AntiVir Desktop\avshadow.exe C:\Windows\system32\conhost.exe C:\Windows\system32\svchost.exe -k RPCSS C:\Windows\system32\atiesrxx.exe C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted C:\Windows\system32\svchost.exe -k netsvcs C:\Windows\system32\svchost.exe -k LocalService C:\Windows\system32\atieclxx.exe C:\Windows\system32\svchost.exe -k NetworkService C:\Windows\System32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe C:\Program Files\Avira\AntiVir Desktop\avmailc.exe C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE C:\Windows\System32\svchost.exe -k HPZ12 C:\Windows\System32\svchost.exe -k HPZ12 C:\Windows\system32\svchost.exe -k imgsvc C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe C:\Windows\system32\taskhost.exe C:\Windows\system32\Dwm.exe C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted C:\Windows\Explorer.EXE C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe C:\Program Files\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Windows\system32\SearchIndexer.exe C:\Program Files\Windows Media Player\wmpnetwk.exe C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE C:\Windows\system32\taskhost.exe C:\Windows\system32\SearchProtocolHost.exe C:\Windows\system32\SearchFilterHost.exe C:\Windows\system32\conhost.exe C:\Windows\system32\wbem\wmiprvse.exe . ============== Pseudo HJT Report =============== . uStart Page = hxxp://www.google.de/ BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\progra~1\spybot~1\SDHelper.dll BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre6\bin\ssv.dll BHO: Windows Live ID Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll BHO: Office Document Cache Handler: {b4f3a835-0e21-4959-ba22-42b3008e02ff} - c:\progra~1\micros~1\office14\URLREDIR.DLL BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll TB: {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No File uRun: [SpybotSD TeaTimer] c:\program files\spybot - search & destroy\TeaTimer.exe mRun: [RTHDVCPL] c:\program files\realtek\audio\hda\RtHDVCpl.exe -s mRun: [NUSB3MON] "c:\program files\renesas electronics\usb 3.0 host controller driver\application\nusb3mon.exe" mRun: [StartCCC] "c:\program files\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe" mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min mRun: [TrojanScanner] c:\program files\trojan remover\Trjscan.exe /boot mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe" mPolicies-system: ConsentPromptBehaviorAdmin = 0 (0x0) mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3) mPolicies-system: EnableLUA = 0 (0x0) mPolicies-system: EnableUIADesktopToggle = 0 (0x0) mPolicies-system: PromptOnSecureDesktop = 0 (0x0) IE: An OneNote s&enden - c:\progra~1\micros~1\office14\ONBttnIE.dll/105 IE: Nach Microsoft E&xcel exportieren - c:\progra~1\micros~1\office14\EXCEL.EXE/3000 IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\program files\microsoft office\office14\ONBttnIE.dll IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - c:\program files\microsoft office\office14\ONBttnIELinkedNotes.dll IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\progra~1\spybot~1\SDHelper.dll LSP: c:\program files\avira\antivir desktop\avsda.dll Trusted Zone: hp.com\h20000.www2 Trusted Zone: hp.com\www DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {A796D216-2DE1-4EA8-BABB-FE6E7C959098} - hxxp://www.hp.com/cpso-support-new/SDD/hpsddObjSigned.cab DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab TCP: Interfaces\{280EA942-A53D-46B7-9DB1-3FFCDF1CD5E3} : NameServer = 192.168.0.1 TCP: Interfaces\{3782C2A4-5238-4152-B552-5D2BCEA694BB} : DhcpNameServer = 192.168.0.1 Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\common files\microsoft shared\office14\MSOXMLMF.DLL . ================= FIREFOX =================== . FF - ProfilePath - c:\users\user\appdata\roaming\mozilla\firefox\profiles\un2nd1xy.default\ FF - plugin: c:\progra~1\micros~1\office14\NPAUTHZ.DLL FF - plugin: c:\progra~1\micros~1\office14\NPSPWRAP.DLL FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll FF - plugin: c:\program files\java\jre6\bin\plugin2\npdeployJava1.dll FF - plugin: c:\program files\java\jre6\bin\plugin2\npjp2.dll . ============= SERVICES / DRIVERS =============== . R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\drivers\vwififlt.sys [2009-7-14 48128] R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2012-1-3 63928] R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2011-7-15 172032] R2 AntiVirMailService;Avira AntiVir MailGuard;c:\program files\avira\antivir desktop\avmailc.exe [2011-7-20 340136] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\avira\antivir desktop\sched.exe [2011-7-20 136360] R2 AntiVirService;Avira AntiVir Guard;c:\program files\avira\antivir desktop\avguard.exe [2011-7-20 269480] R2 AntiVirWebService;Avira AntiVir WebGuard;c:\program files\avira\antivir desktop\avwebgrd.exe [2011-7-20 428200] R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-7-20 66616] R2 SBSDWSCService;SBSD Security Center Service;c:\program files\spybot - search & destroy\SDWinSec.exe [2012-2-21 1153368] R3 amdkmdag;amdkmdag;c:\windows\system32\drivers\atikmdag.sys [2011-7-15 5430272] R3 amdkmdap;amdkmdap;c:\windows\system32\drivers\atikmpag.sys [2011-7-15 157184] R3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\drivers\nusb3hub.sys [2010-11-19 62208] R3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\drivers\nusb3xhc.sys [2010-11-19 141568] R3 osppsvc;Office Software Protection Platform;c:\program files\common files\microsoft shared\officesoftwareprotectionplatform\OSPPSVC.EXE [2010-1-9 4640000] R3 usbfilter;AMD USB Filter Driver;c:\windows\system32\drivers\usbfilter.sys [2011-7-15 30392] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384] S3 athur;Atheros AR9271 Wireless Network Adapter Service;c:\windows\system32\drivers\athur.sys [2010-1-5 1500160] S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-13 229888] S3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-21 62464] S3 Olympus DVR Service;Olympus DVR Service;c:\program files\common files\olympus shared\devicemanager\olydvrsv.exe [2010-2-26 176128] S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\drivers\Rt86win7.sys [2011-7-15 393320] S3 StorSvc;Speicherdienst;c:\windows\system32\svchost.exe -k LocalSystemNetworkRestricted [2009-7-14 20992] S3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\TsUsbFlt.sys [2010-11-20 52224] S3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-20 27264] . =============== Created Last 30 ================ . 2012-02-24 17:52:22 -------- d-----w- c:\program files\ESET 2012-02-23 14:06:25 -------- d-----w- c:\users\user\appdata\local\Xenocode 2012-02-23 08:40:23 -------- d-----w- c:\users\user\appdata\roaming\Malwarebytes 2012-02-23 08:40:18 -------- d-----w- c:\programdata\Malwarebytes 2012-02-23 08:40:17 20464 ----a-w- c:\windows\system32\drivers\mbam.sys 2012-02-23 08:40:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2012-02-22 18:27:33 -------- d-sh--w- C:\$RECYCLE.BIN 2012-02-22 18:27:30 -------- d-----w- c:\users\user\appdata\local\temp 2012-02-22 17:59:55 98816 ----a-w- c:\windows\sed.exe 2012-02-22 17:59:55 518144 ----a-w- c:\windows\SWREG.exe 2012-02-22 17:59:55 256000 ----a-w- c:\windows\PEV.exe 2012-02-22 17:59:55 208896 ----a-w- c:\windows\MBR.exe 2012-02-22 08:38:57 -------- d--h--w- c:\windows\PIF 2012-02-22 08:32:20 77312 ----a-w- c:\windows\system32\ztvunace26.dll 2012-02-22 08:32:20 75264 ----a-w- c:\windows\system32\unacev2.dll 2012-02-22 08:32:20 69632 ----a-w- c:\windows\system32\ztvcabinet.dll 2012-02-22 08:32:20 162304 ----a-w- c:\windows\system32\ztvunrar36.dll 2012-02-22 08:32:20 153088 ----a-w- c:\windows\system32\UNRAR3.dll 2012-02-22 08:32:18 -------- d-----w- c:\users\user\appdata\roaming\Simply Super Software 2012-02-22 08:32:18 -------- d-----w- c:\programdata\Simply Super Software 2012-02-22 08:32:18 -------- d-----w- c:\program files\Trojan Remover 2012-02-21 13:26:29 -------- d-----w- c:\programdata\Spybot - Search & Destroy 2012-02-21 13:26:29 -------- d-----w- c:\program files\Spybot - Search & Destroy 2012-02-16 12:20:37 690688 ----a-w- c:\windows\system32\msvcrt.dll 2012-02-16 12:20:37 478720 ----a-w- c:\windows\system32\timedate.cpl 2012-02-16 12:20:31 442880 ----a-w- c:\windows\system32\ntshrui.dll 2012-02-16 12:20:30 2343424 ----a-w- c:\windows\system32\win32k.sys 2012-02-09 12:52:25 49152 ------w- c:\windows\Interop.IWshRuntimeLibrary.dll . ==================== Find3M ==================== . 2012-02-22 19:09:50 472808 ----a-w- c:\windows\system32\deployJava1.dll 2012-02-22 18:50:32 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2012-01-18 12:39:08 662840 ----a-w- c:\windows\rmx.uninstall.exe 2012-01-18 10:04:28 306488 ------w- c:\windows\rmx.deinstallation.exe 2011-12-14 03:04:54 1798656 ----a-w- c:\windows\system32\jscript9.dll 2011-12-14 02:57:18 1127424 ----a-w- c:\windows\system32\wininet.dll 2011-12-14 02:56:58 1427456 ----a-w- c:\windows\system32\inetcpl.cpl 2011-12-14 02:50:04 2382848 ----a-w- c:\windows\system32\mshtml.tlb 2011-07-20 09:55:40 0 ----a-w- c:\program files\TSRD2AA.tmp . ============= FINISH: 19:24:44,22 =============== . UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG. IF REQUESTED, ZIP IT UP & ATTACH IT . DDS (Ver_2011-08-26.01) . Microsoft Windows 7 Professional Boot Device: \Device\HarddiskVolume1 Install Date: 15.07.2011 12:26:23 System Uptime: 24.02.2012 09:44:20 (10 hours ago) . Motherboard: Gigabyte Technology Co., Ltd. | | GA-880GMA-UD2H Processor: AMD Athlon(tm) II X2 260 Processor | Socket M2 | 3200/200mhz . ==== Disk Partitions ========================= . C: is FIXED (NTFS) - 100 GiB total, 63,165 GiB free. D: is FIXED (NTFS) - 366 GiB total, 349,013 GiB free. E: is CDROM () Z: is FIXED (NTFS) - 298 GiB total, 5,718 GiB free. . ==== Disabled Device Manager Items ============= . Class GUID: {4d36e972-e325-11ce-bfc1-08002be10318} Description: Realtek PCIe GBE Family Controller Device ID: PCI\VEN_10EC&DEV_8168&SUBSYS_E0001458&REV_06\4&7F0761B&0&0050 Manufacturer: Realtek Name: Realtek PCIe GBE Family Controller PNP Device ID: PCI\VEN_10EC&DEV_8168&SUBSYS_E0001458&REV_06\4&7F0761B&0&0050 Service: RTL8167 . ==== System Restore Points =================== . RP73: 22.02.2012 19:00:01 - ComboFix created restore point RP74: 22.02.2012 19:54:43 - Windows Update RP75: 22.02.2012 20:09:03 - Installed Java(TM) 6 Update 31 . ==== Installed Programs ====================== . 32 Bit HP CIO Components Installer 7-Zip 9.20 Adobe AIR Adobe Flash Player 11 ActiveX Adobe Flash Player 11 Plugin Adobe Reader X (10.1.2) - Deutsch AMD Drag and Drop Transcoding AMD USB Filter Driver Avira AntiVir Premium Bulk Rename Utility 2.7.1.2 CanoScan Toolbox Ver4.1 Catalyst Control Center - Branding Catalyst Control Center Core Implementation Catalyst Control Center Graphics Full Existing Catalyst Control Center Graphics Full New Catalyst Control Center Graphics Light Catalyst Control Center Graphics Previews Common Catalyst Control Center Graphics Previews Vista Catalyst Control Center HydraVision Full ccc-core-static ccc-utility CCC Help English D3DX10 DDBAC Definition update for Microsoft Office 2010 (KB982726) DictaNet - Philips Pocket Memo ESET Online Scanner v3 Java Auto Updater Java(TM) 6 Update 31 Junk Mail filter update klickTel Telefon- und Branchenbuch Frühjahr 2010 KONICA MINOLTA PageScope Box Operator 3.2.01000 Malwarebytes Anti-Malware Version 1.60.1.1000 Microsoft .NET Framework 4 Client Profile Microsoft .NET Framework 4 Extended Microsoft Application Error Reporting Microsoft Office 2010 Primary Interop Assemblies Microsoft Office Access MUI (German) 2010 Microsoft Office Excel MUI (German) 2010 Microsoft Office Home and Business 2010 Microsoft Office OneNote MUI (German) 2010 Microsoft Office Outlook Connector Microsoft Office Outlook MUI (German) 2010 Microsoft Office PowerPoint MUI (German) 2010 Microsoft Office Proof (English) 2010 Microsoft Office Proof (French) 2010 Microsoft Office Proof (German) 2010 Microsoft Office Proof (Italian) 2010 Microsoft Office Proofing (German) 2010 Microsoft Office Publisher MUI (German) 2010 Microsoft Office Shared MUI (German) 2010 Microsoft Office Single Image 2010 Microsoft Office Word MUI (German) 2010 Microsoft Outlook Social Connector Provider for Windows Live Messenger 32-bit Microsoft Surface Toolkit Runtime for Windows Touch Beta Microsoft Sync Framework 2.0 Core Components (x86) DEU Microsoft Sync Framework 2.0 Provider Services (x86) DEU Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Mozilla Firefox 10.0.2 (x86 de) MSVCRT PDF-XChange 4 Realtek Ethernet Controller Driver Realtek HDMI Audio Driver for ATI Realtek High Definition Audio Driver Renesas Electronics USB 3.0 Host Controller Driver Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870) Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636) Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078) Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870) Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351) Security Update for Microsoft .NET Framework 4 Extended (KB2416472) Security Update for Microsoft .NET Framework 4 Extended (KB2487367) Security Update for Microsoft .NET Framework 4 Extended (KB2656351) Security Update for Microsoft Excel 2010 (KB2523021) Security Update for Microsoft Office 2010 (KB2289078) Security Update for Microsoft Office 2010 (KB2289161) Security Update for Microsoft PowerPoint 2010 (KB2519975) Security Update for Microsoft Publisher 2010 (KB2409055) Security Update for Microsoft Word 2010 (KB2345000) Spybot - Search & Destroy TextControl 14.0 SP4 Trojan Remover 6.8.2 Update für Microsoft Outlook Social Connector (KB2441641) Update for Microsoft .NET Framework 4 Client Profile (KB2468871) Update for Microsoft .NET Framework 4 Client Profile (KB2473228) Update for Microsoft .NET Framework 4 Client Profile (KB2533523) Update for Microsoft .NET Framework 4 Client Profile (KB2600217) Update for Microsoft .NET Framework 4 Extended (KB2468871) Update for Microsoft .NET Framework 4 Extended (KB2533523) Update for Microsoft .NET Framework 4 Extended (KB2600217) Update for Microsoft Office 2010 (KB2202188) Update for Microsoft Office 2010 (KB2413186) Update for Microsoft Office 2010 (KB2494150) Update for Microsoft Office 2010 (KB2523113) Update for Microsoft OneNote 2010 (KB2493983) Update for Microsoft Outlook Social Connector (KB2441641) Windows Live Communications Platform Windows Live Essentials Windows Live ID Sign-in Assistant Windows Live Installer Windows Live Mail Windows Live MIME IFilter Windows Live Photo Common Windows Live PIMT Platform Windows Live SOXE Windows Live SOXE Definitions Windows Live UX Platform Windows Live UX Platform Language Pack Windows Live Writer Windows Live Writer Resources . ==== End Of File =========================== GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2012-02-24 19:58:34 Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\00000057 WDC_WD50 rev.01.0 Running: l5yxbzlw.exe; Driver: C:\Users\user\AppData\Local\Temp\pfroapog.sys ---- System - GMER 1.0.15 ---- SSDT 91497326 ZwCreateSection SSDT 91497303 ZwLoadDriver SSDT 9149732B ZwSetContextThread SSDT 91497308 ZwSetSystemInformation SSDT 914972C7 ZwTerminateProcess SSDT 914972C2 ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwSaveKey + 13D1 83053369 1 Byte [06] .text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 8308CD52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3} .text ntkrnlpa.exe!KeRemoveQueueEx + 11F7 83093EAC 4 Bytes [26, 73, 49, 91] .text ntkrnlpa.exe!KeRemoveQueueEx + 1313 83093FC8 4 Bytes [03, 73, 49, 91] {ADD ESI, [EBX+0x49]; XCHG ECX, EAX} .text ntkrnlpa.exe!KeRemoveQueueEx + 1597 8309424C 4 Bytes [2B, 73, 49, 91] {SUB ESI, [EBX+0x49]; XCHG ECX, EAX} .text ntkrnlpa.exe!KeRemoveQueueEx + 161F 830942D4 4 Bytes [08, 73, 49, 91] {OR [EBX+0x49], DH; XCHG ECX, EAX} .text ntkrnlpa.exe!KeRemoveQueueEx + 166F 83094324 4 Bytes [C7, 72, 49, 91] .text ... .text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x91627000, 0x2F786C, 0xE8000020] ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) Device \Driver\ACPI_HAL \Device\0000004b halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SOFTWARE\Microsoft\Windows Search\Gather\Windows\SystemIndex\Crawls\781@DoneAddingCrawlSeeds 0 ---- EOF - GMER 1.0.15 ---- |
25.02.2012, 12:27 | #2 |
/// Malware-holic | Trojaner? TR/Kazy.okd? Fehlalarm? hi,
__________________du siehst ja selbst, wie knapp das war, deswegen folgendes: der pc muss neu aufgesetzt und dann abgesichert werden 1. Datenrettung:
4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________ |
25.02.2012, 13:04 | #3 |
| Trojaner? TR/Kazy.okd? Fehlalarm? Handwerklich ist eine Neuinstallation kein Problem. Sie ist jedoch mit erheblichen Aufwand verbunden.
__________________Ich tue mir halt schwer damit, wenn - abgesehen von den Meldungen der Banken - aus meiner Sicht (bin kein Laie) kein Befall festzustellen ist. Was sagen denn Deiner Meinung nach die Logs? Deswegen habe ich ja hier gepostet. |
25.02.2012, 13:12 | #4 |
/// Malware-holic | Trojaner? TR/Kazy.okd? Fehlalarm? was heißt abgesehen, muss erst jemand geld von deinem konto abbuchen befor bedarf zum handeln besteht? überleg mal, wenn mehrere banken dir was gemeldet haben, wie sehr das hätte ins auge gehen können, da ist es besser einmal zeit zu investieren und dann nen vernünftig gesichertes system zu haben + backups. ich werde dir bei allem natürlich schritt für schritt helfen. edit: ums noch mal zu verdeutlichen, jemand hat deine bank informationen gestohlen und evtl. auch weitere daten. du hattest nur glück, das deine bank(en) aufmerksam waren, sonst hättest du leicht mit geplünderten konten da stehen können.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
25.02.2012, 14:25 | #5 |
| Trojaner? TR/Kazy.okd? Fehlalarm? Dass eine Neuinstallation das Sicherste wäre, ist mir klar. Des Risikos, das ansonsten existiert, bin ich mir bewusst. Das ist mein Problem. Ich möchte einfach nur wissen, ob hier noch ein Befall feststellbar ist. |
25.02.2012, 16:08 | #6 |
/// Malware-holic | Trojaner? TR/Kazy.okd? Fehlalarm? naja, da müsste man halt weiter suchen, aber selbst wenn nicht, bestünde immer noch die möglichkeit das wir etwas nicht finden.
__________________ --> Trojaner? TR/Kazy.okd? Fehlalarm? |
Themen zu Trojaner? TR/Kazy.okd? Fehlalarm? |
4d36e972-e325-11ce-bfc1-08002be10318, acrobat update, antivir, antivir guard, avira, combofix, desktop, document, e-banking, email, error, fehlalarm, firefox, flash player, helper, home, internet, locker, mozilla, netzwerk, olympus, plug-in, problem, realtek, security, super, surface, svchost.exe, system, trojaner, trojaner?, usb, usb 3.0, virus, windows |