[Zeus Virus] mitgeteilt von web.de abuse

herbiw · 06.03.2012, 10:24

Hallo!

Ich habe am 04.03 um 04:00 in der Früh vom Web.de Abuse Team folgende Mail erhalten:

Zitat:

Ihr Postfach: ***@web.de
Unsere Referenz: [Ticket ***]
Hinweis: Ihr Name in der Anrede zeigt Ihnen, dass diese Nachricht tatsächlich
von WEB.DE verschickt wurde.

Sehr geehrte/r Herr *** ***,
Sie erhalten heute eine dringende Nachricht zu Ihrem WEB.DE Postfach
***@web.de und der Sicherheit Ihrer persönlichen Daten.

Unser Team von Sicherheitsexperten hat zwei wichtige Informationen für Sie:

- Ein Virus hat das Passwort zu Ihrem WEB.DE Postfach ausgespäht.

- Dieser Virus heißt Zeus und befindet sich wahrscheinlich auf Ihrem
Computer.

In dieser E-Mail finden Sie alle notwendigen Informationen, um die Sicherheit
Ihres Postfaches und Ihres Computers wiederherzustellen.

***************************************************************************
WICHTIG: Von dem Virus "Zeus" geht eine erhebliche Gefahr aus. Er spioniert
Passwörter und Bank-Daten aus und leitet sie an seine Urheber weiter. Nach und
nach plündern die Angreifer anschließend mithilfe der Bank-Daten die Konten
ihrer Opfer aus. Sie möchten mehr über diesen Virus erfahren? Einen Bericht zu
diesem Virus finden Sie im 1&1 Blog unter:
hxxp://blog.1und1.de/2010/02/11/11-schuetzt-internetnutzer-vor-trojaner-zeus/
***************************************************************************

Und so gewinnen Sie den Kampf gegen Zeus:

***************************************************************************
1. Ändern Sie das Passwort zu Ihrem WEB.DE-Postfach:
***************************************************************************
Loggen Sie sich von einem sicheren Computer in Ihr Postfach ein.

Klicken Sie im linken Menü auf 'Meine Daten'. Sie gelangen in das WEB.DE
Kundencenter und ändern hier sicher Ihr Passwort.

***************************************************************************
2. Erkennen Sie, welcher Computer mit dem Virus Zeus infiziert ist:
***************************************************************************
Haben Sie in den letzten Tagen über unterschiedliche Computer auf Ihr
Postfach zugegriffen? Dann hilft Ihnen die folgende Angabe dabei den betroffenen
Computer zu finden:

Sie haben den Computer zum folgenden Zeitpunkt benutzt: 03.03.2012 20:08:36 Uhr

***************************************************************************
3. Löschen Sie den Virus:
***************************************************************************
Der Virus Zeus nimmt tiefgreifende Veränderungen im Betriebssystem des Computers
vor. Da eine Anti-Viren-Software auf dem Betriebssystem läuft, ist es sehr
schwierig diesen Virus mit einer Software zu entfernen.

Wir empfehlen Ihnen daher, den betroffenen Computer neu zu installieren.

TIPP: Allgemeine Unterstützung bei Virus-Infektionen erhalten vom
Anti-Botnet-Beratungszentrum der deutschen Initiative botfrei.de.

Sie erreichen die Experten des Anti-Botnet-Beratungszentrums unter der folgenden
Rufnummer: 0221 - 677 84 977

Wichtig: Geben Sie bei Ihrem Anruf bitte die folgende Voucher-Nummer an:
01-39108649

***************************************************************************
4. Ändern Sie anschließend alle Ihre Passwörter:
***************************************************************************
Nachdem Sie den Virus erfolgreich entfernt haben, ändern Sie zur Sicherheit das
Passwort erneut.

Ändern Sie auch alle Ihre anderen Passwörter. Denken Sie an Ihre Passwörter zu:
- Ihrem Online-Banking-Zugang
- Ihren Konten bei eBay und Paypal
- Ihren anderen E-Mail-Konten

***************************************************************************
5. Sichern Sie Ihren Computer für die Zukunft:
***************************************************************************
Um Ihren Computer zukünftig optimal zu schützen, empfehlen wir Ihnen die
Installation einer professionellen Anti-Viren-Software, wie dem WEB.DE
PC-Sicherheits-Paket.

Weitere Informationen finden Sie unter: hxxp://www.pc-sicherheit.web.de

***************************************************************************

Haben Sie noch Fragen an uns? Dann antworten Sie einfach auf diese E-Mail und
belassen bitte unsere Referenz [Ticket ***] in Ihrer Nachricht.

Wir freuen uns, mit Ihnen gemeinsam für die Sicherheit Ihres Postfaches zu
sorgen - vielen Dank für Ihre Mitarbeit!

Mit freundlichen Grüßen

Ihr Abuse-Team

--
Abuse-Abteilung
WEB.DE

hxxp://web.de/Impressum

Das hat mich ein wenig schockiert. Internet auf dem betroffenen Rechner gekappt (am 04.03 am Abend nach dem lesen der Mail) und gegoogelt.

Über google bin ich auf ComboFix gestoßen (welches dieses Problem lösen soll) habe Combofix runtergeladen, Antivir so gut es ging deaktiviert (obwohl alles auf aus war hat er mich trotzdem gewarnt) und dann das Programm ausgeführt.
Ich hab 3-4x eine Meldung bekommen, dass ein Virus gefunden wurde, einmal gab es ein reboot und folgendes File am Ende:

Combofix Logfile:

Code:

ATTFilter

ComboFix 12-03-04.02 - *** 05.03.2012  18:26:22.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2843 [GMT 1:00]
ausgeführt von:: d:\dokumente und einstellungen\***\Desktop\WICHTIG\ComboFix.exe
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
d:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
d:\dokumente und einstellungen\***\4.0
d:\dokumente und einstellungen\***\Anwendungsdaten\AD ON Multimedia
d:\dokumente und einstellungen\***\Anwendungsdaten\AD ON Multimedia\eBay Shortcuts\config.ini
d:\dokumente und einstellungen\***\WINDOWS
d:\programme\INSTALL.LOG
d:\windows\$NtUninstallKB19617$
d:\windows\$NtUninstallKB19617$\2518276792\@
d:\windows\$NtUninstallKB19617$\2518276792\cfg.ini
d:\windows\$NtUninstallKB19617$\2518276792\Desktop.ini
d:\windows\$NtUninstallKB19617$\2518276792\L\ityybpwg
d:\windows\$NtUninstallKB19617$\528972586
d:\windows\system32\drivers\npf.sys
d:\windows\system32\Packet.dll
d:\windows\system32\wpcap.dll
E:\setup.exe
.
d:\windows\system32\drivers\vaxscsi.sys . . . ist infiziert!! . . . Failed to find a valid replacement.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NPF
-------\Legacy_SSHNAS
-------\Service_NPF
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-02-05 bis 2012-03-05  ))))))))))))))))))))))))))))))
.
.
2012-03-05 17:15 . 2012-03-05 17:15	--------	d-----w-	d:\programme\CCleaner
2012-02-29 18:58 . 2012-02-29 18:59	--------	d-----w-	d:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\libimobiledevice
2012-02-28 20:04 . 2012-02-28 20:04	--------	d-----w-	d:\programme\iPod
2012-02-28 20:04 . 2012-02-28 20:04	--------	d-----w-	d:\programme\iTunes
2012-02-28 20:02 . 2012-02-28 20:02	--------	d-----w-	d:\programme\Bonjour
2012-02-16 17:15 . 2012-01-11 19:06	3072	-c----w-	d:\windows\system32\dllcache\iacenc.dll
2012-02-16 17:15 . 2012-01-11 19:06	3072	------w-	d:\windows\system32\iacenc.dll
2012-02-10 20:18 . 2012-02-11 11:53	0	--sha-w-	d:\windows\system32\dds_trash_log.cmd
2012-02-10 20:17 . 2012-03-04 22:41	--------	d-----w-	d:\dokumente und einstellungen\***\Anwendungsdaten\Mawius
2012-02-10 20:17 . 2012-03-03 19:27	--------	d-----w-	d:\dokumente und einstellungen\***\Anwendungsdaten\Ufud
2012-02-08 09:22 . 2012-02-08 09:22	--------	d-----w-	d:\programme\Dropbox
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-19 17:43 . 2009-03-20 18:17	138192	----a-w-	d:\windows\system32\drivers\avipbb.sys
2012-02-16 22:33 . 2011-05-21 10:27	414368	----a-w-	d:\windows\system32\FlashPlayerCPLApp.cpl
2012-01-12 17:20 . 2008-04-14 05:23	1860096	----a-w-	d:\windows\system32\win32k.sys
2012-01-10 19:25 . 2012-01-10 19:25	933888	----a-w-	d:\windows\system32\o2cAreas.ocx
2012-01-10 19:25 . 2012-01-10 19:25	1208320	----a-w-	d:\windows\system32\O2CPlayer.ocx
2011-12-20 19:48 . 2008-04-14 05:53	26624	----a-w-	d:\windows\system32\userinit.exe
2011-12-17 19:43 . 2008-04-14 05:53	1469440	----a-w-	d:\windows\system32\inetcpl.cpl
2011-12-17 19:43 . 2008-04-14 05:52	916992	----a-w-	d:\windows\system32\wininet.dll
2011-12-17 19:43 . 2008-04-14 05:52	43520	----a-w-	d:\windows\system32\licmgr10.dll
2011-12-16 12:22 . 2008-04-14 05:25	385024	----a-w-	d:\windows\system32\html.iec
2010-12-01 13:43 . 2010-12-01 13:43	2690560	----a-w-	d:\programme\PartyGaming.exe
2010-12-01 13:27 . 2010-12-01 13:27	1162744	----a-w-	d:\programme\mfc90u.dll
2010-12-01 13:27 . 2010-12-01 13:27	41984	----a-w-	d:\programme\llh.dll
2010-12-01 13:27 . 2010-12-01 13:27	37376	----a-w-	d:\programme\ArticleManager.dll
2010-12-01 13:27 . 2010-12-01 13:27	655872	----a-w-	d:\programme\msvcr90.dll
2010-12-01 13:27 . 2010-12-01 13:27	434176	----a-w-	d:\programme\PGImageDll.dll
2010-12-01 13:27 . 2010-12-01 13:27	568832	----a-w-	d:\programme\msvcp90.dll
2010-12-01 13:27 . 2010-12-01 13:27	28672	----a-w-	d:\programme\DID.dll
2010-12-01 13:27 . 2010-12-01 13:27	679936	----a-w-	d:\programme\libeay32.dll
2010-12-01 13:27 . 2010-12-01 13:27	33280	----a-w-	d:\programme\PGWMIRetriever.dll
2010-12-01 13:27 . 2010-12-01 13:27	147456	----a-w-	d:\programme\ssleay32.dll
2010-12-01 13:27 . 2010-12-01 13:27	144896	----a-w-	d:\programme\PGBrowser.dll
2010-12-01 13:23 . 2010-12-01 13:23	90112	----a-w-	d:\programme\gkgfx.dll
2010-12-01 13:23 . 2010-12-01 13:23	81920	----a-w-	d:\programme\xpcom_compat.dll
2010-12-01 13:23 . 2010-12-01 13:23	69632	----a-w-	d:\programme\mozz.dll
2010-12-01 13:23 . 2010-12-01 13:23	462848	----a-w-	d:\programme\js3250.dll
2010-12-01 13:23 . 2010-12-01 13:23	430080	----a-w-	d:\programme\xpcom_core.dll
2010-12-01 13:23 . 2010-12-01 13:23	376832	----a-w-	d:\programme\nss3.dll
2010-12-01 13:23 . 2010-12-01 13:23	28672	----a-w-	d:\programme\plc4.dll
2010-12-01 13:23 . 2010-12-01 13:23	270336	----a-w-	d:\programme\nssckbi.dll
2010-12-01 13:23 . 2010-12-01 13:23	253952	----a-w-	d:\programme\softokn3.dll
2010-12-01 13:23 . 2010-12-01 13:23	24576	----a-w-	d:\programme\xpcom.dll
2010-12-01 13:23 . 2010-12-01 13:23	24576	----a-w-	d:\programme\plds4.dll
2010-12-01 13:23 . 2010-12-01 13:23	200704	----a-w-	d:\programme\freebl3.dll
2010-12-01 13:23 . 2010-12-01 13:23	155648	----a-w-	d:\programme\nspr4.dll
2010-12-01 13:23 . 2010-12-01 13:23	131072	----a-w-	d:\programme\ssl3.dll
2010-12-01 13:23 . 2010-12-01 13:23	106496	----a-w-	d:\programme\smime3.dll
2010-12-01 13:20 . 2010-12-01 13:20	114688	----a-w-	d:\programme\PGDetector.exe
2010-12-01 13:20 . 2010-12-01 13:20	110592	----a-w-	d:\programme\CleanUp.exe
2009-08-05 14:19 . 2009-08-05 14:19	110592	----a-w-	d:\programme\DM.dll
2008-01-24 16:22 . 2008-01-24 16:22	995410	----a-w-	d:\programme\MFC42LU.DLL
2008-01-24 16:22 . 2008-01-24 16:22	59904	----a-w-	d:\programme\zlib1.dll
2008-01-24 16:22 . 2008-01-24 16:22	393216	----a-w-	d:\programme\MSLUP60.dll
2008-01-24 16:22 . 2008-01-24 16:22	237568	----a-w-	d:\programme\MSLURT.dll
2006-11-07 07:53 . 2006-11-07 07:53	258352	----a-w-	d:\programme\UNICOWS.DLL
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	----a-w-	d:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	----a-w-	d:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	----a-w-	d:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2011-02-18 05:12	94208	----a-w-	d:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OnlineFestplatte"="d:\programme\aon\Onlinefestplatte\OnlineFestplatte.exe" [2008-01-25 253976]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-04-07 16859136]
"Acrobat Assistant 7.0"="d:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 483328]
"StatusClient"="d:\programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 36864]
"TomcatStartup"="d:\programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe" [2003-03-31 155648]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"Start WingMan Profiler"="d:\programme\Logitech\Gaming Software\LWEMon.exe" [2008-04-04 88584]
"StartCCC"="d:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-09-10 98304]
"QuickTime Task"="d:\programme\QuickTime\qttask.exe" [2010-11-29 421888]
"SunJavaUpdateSched"="d:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
"bgsmsnd.exe"="d:\windows\system32\bgsmsnd.exe" [2007-11-19 160136]
"APSDaemon"="d:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe" [2012-01-16 421736]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
d:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\
Dropbox.lnk - d:\dokumente und einstellungen\***\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2012-2-17 26530760]
.
d:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Acrobat Speed Launcher.lnk - d:\windows\Installer\{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2008-5-16 25214]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, UrrabpagCifw.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Steam\\steamapps\\xxx\\half-life 2 deathmatch\\hl2.exe"=
"d:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"d:\\Programme\\Doom 3\\DOOM3DED.exe"=
"d:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"d:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
"d:\\Programme\\Telekom Austria\\aonController\\aonController.exe"=
"d:\\Programme\\Telekom Austria\\Breitband-Internet-Installation\\fixnet installer\\Installer.exe"=
"d:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"d:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"d:\\Programme\\Messenger\\msmsgs.exe"=
"e:\\Programme\\Electronic Arts\\Need for Speed(TM) Hot Pursuit\\NFS11.exe"=
"e:\\Programme\\Electronic Arts\\Need for Speed(TM) Hot Pursuit\\Launcher.exe"=
"d:\\Programme\\Vuze\\Azureus.exe"=
"d:\\Programme\\Skype\\Phone\\Skype.exe"=
"e:\\Neu noch nicht auf platte\\iphoneX\\tinyumbrella-4.33.00.exe"=
"d:\\Dokumente und Einstellungen\\xxx\\Eigene Dateien\\Downloads\\putty.exe"=
"e:\\Programme\\Fifa 12\\Game\\fifa.exe"=
"x:\\GTA IV\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"x:\\GTA IV\\Grand Theft Auto IV\\GTAIV.exe"=
"d:\\Dokumente und Einstellungen\\xxx\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"d:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"d:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
"e:\\Neu noch nicht auf platte\\iphoneX\\tinyumbrella-5.10.07.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"23351:UDP"= 23351:UDP:UDP 23351
"23630:TCP"= 23630:TCP:TCP 23630
.
R0 Lbd;Lbd;d:\windows\system32\drivers\Lbd.sys [05.01.2010 21:29 64512]
R0 sptd;sptd;d:\windows\system32\drivers\sptd.sys [13.05.2008 21:47 721904]
R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [20.03.2009 19:17 136360]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;d:\programme\Lavasoft\Ad-Aware\AAWService.exe [21.07.2011 13:59 2152152]
R3 vaxscsi;vaxscsi;d:\windows\system32\drivers\vaxscsi.sys [13.05.2008 21:49 223128]
S2 gupdate;Google Update Service (gupdate);d:\programme\Google\Update\GoogleUpdate.exe [29.12.2009 12:38 135664]
S2 qvylsxmjg;qvylsxmjg;\??\d:\windows\system32\drivers\ulfaiiaeitmj.sys --> d:\windows\system32\drivers\ulfaiiaeitmj.sys [?]
S2 vsrbf;vsrbf;\??\d:\windows\system32\drivers\sqiwrtkvgrawv.sys --> d:\windows\system32\drivers\sqiwrtkvgrawv.sys [?]
S3 FsUsbExDisk;FsUsbExDisk;d:\windows\system32\FsUsbExDisk.Sys [16.11.2009 18:50 36608]
S3 gupdatem;Google Update-Dienst (gupdatem);d:\programme\Google\Update\GoogleUpdate.exe [29.12.2009 12:38 135664]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);d:\windows\system32\drivers\s115bus.sys [23.12.2008 16:56 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;d:\windows\system32\drivers\s115mdfl.sys [23.12.2008 16:56 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;d:\windows\system32\drivers\s115mdm.sys [23.12.2008 16:56 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);d:\windows\system32\drivers\s115mgmt.sys [23.12.2008 16:57 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;d:\windows\system32\drivers\s115obex.sys [23.12.2008 16:57 98568]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
S3 SynasUSB;SynasUSB;d:\windows\system32\drivers\synasUSB.sys [10.01.2012 20:25 23288]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
mssql$sqlexpress
se2Bunic
el90xbc
GENERICDRV
ghoststartservice
QPSched
wg5n
raidmagt
iaimtv4
wpsdrvnt
softfax
{e2b953a6-195a-44f9-9ba3-3d5f4e32bb55}
ehsched
appnnode
Gernuwa
rmedia
TICalc
AmdIde
.
Inhalt des "geplante Tasks" Ordners
.
2012-03-05 d:\windows\Tasks\Ad-Aware Update (Weekly).job
- d:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2011-07-21 07:40]
.
2012-02-28 d:\windows\Tasks\AppleSoftwareUpdate.job
- d:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 11:34]
.
2012-03-05 d:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- d:\programme\Google\Update\GoogleUpdate.exe [2009-12-29 11:38]
.
2012-03-04 d:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- d:\programme\Google\Update\GoogleUpdate.exe [2009-12-29 11:38]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://orf.at/
uInternet Settings,ProxyServer = 195.37.16.97:3128
uInternet Settings,ProxyOverride = *.local
IE: Block frame with Ad Muncher - hxxp://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=549CY354&id=menu_ie_frame
IE: Block image with Ad Muncher - hxxp://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=549CY354&id=menu_ie_image
IE: Block link with Ad Muncher - hxxp://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=549CY354&id=menu_ie_link
IE: Convert link target to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - d:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Don't filter page with Ad Muncher - hxxp://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=549CY354&id=menu_ie_exclude
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Report page to the Ad Muncher developers - hxxp://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=1.0&pass=549CY354&id=menu_ie_report
IE: View EXIF - c:\viewexif\EXIF.htm
FF - ProfilePath - d:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\90we2vdv.default\
FF - prefs.js: browser.search.selectedEngine - Winload Customized Web Search
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - d:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - d:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - d:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - d:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - d:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - d:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: 20-20 3D Viewer: 2020Player@2020Technologies.com - %profile%\extensions\2020Player@2020Technologies.com
FF - Ext: Gutscheinsammler.de: alarm@gutscheinsammler.de - %profile%\extensions\alarm@gutscheinsammler.de
FF - Ext: EPUBReader: {5384767E-00D9-40E9-B72F-9CC39D655D6F} - %profile%\extensions\{5384767E-00D9-40E9-B72F-9CC39D655D6F}
FF - Ext: 20-20 3D Viewer - IKEA: 2020Player_IKEA@2020Technologies.com - %profile%\extensions\2020Player_IKEA@2020Technologies.com
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
------- Dateityp-Verknüpfung -------
.
.txt=
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-RGSC - x:\gta iv\Rockstar Games Social Club\RGSCLauncher.exe
HKLM-Run-NPSStartup - (no file)
AddRemove-Foxit PDF Editor - c:\program files\Foxit Software\PDF Editor\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-03-05 18:34
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-746137067-1060284298-1801674531-1003\Software\SecuROM\License information*]
"datasecu"=hex:e9,96,8f,71,29,52,18,d4,da,8e,2a,6c,f2,fc,52,e4,9b,ad,5d,de,ce,
   54,01,45,25,c0,9b,3c,91,f6,3b,03,e7,bf,b1,38,a5,c3,67,fc,34,3d,16,7e,bb,2f,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(624)
d:\windows\system32\Ati2evxx.dll
d:\windows\system32\atiadlxx.dll
.
- - - - - - - > 'explorer.exe'(564)
d:\dokumente und einstellungen\xxx\Anwendungsdaten\Dropbox\bin\DropboxExt.14.dll
d:\windows\system32\webcheck.dll
d:\windows\system32\WPDShServiceObj.dll
d:\windows\system32\PortableDeviceTypes.dll
d:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
d:\windows\system32\Ati2evxx.exe
d:\windows\system32\Ati2evxx.exe
d:\programme\Avira\AntiVir Desktop\avguard.exe
d:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
d:\programme\Avira\AntiVir Desktop\avshadow.exe
d:\programme\Bonjour\mDNSResponder.exe
d:\programme\Java\jre6\bin\jqs.exe
d:\programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
d:\programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVC.EXE
d:\programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSvcM.exe
d:\windows\RTHDCPL.EXE
d:\programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
d:\windows\system32\wbem\unsecapp.exe
d:\programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
d:\programme\iPod\bin\iPodService.exe
d:\programme\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-03-05  18:39:15 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-03-05 17:39
.
Vor Suchlauf: 6.297.640.960 Bytes frei
Nach Suchlauf: 6.543.335.424 Bytes frei
.
- - End Of File - - F33EEC955C1C55B4C2D10CD2E8BECF60

--- --- ---

Ist der Virus damit weg?
Wohl eher nicht?
Neuaufsetzen von D:\ wäre kein Problem.
E:\ ist eine andere Partition auf der selben Platte
X:\ eine eigene Platte

Leider werden auch e: und x: in dem Report erwähnt.
Muss ich auch von den bei den laufwerken alle Programme und .exe datein löschen um den Virus endgültig loszuwerden?
Bin für jede Hilfe dankbar

edit: die spiele (z.b. fifa) und programme (z.b. tinyumbrella) sind möglicherweise genau die, die ich seit einem mögliche virusbefall gestartet habe. sind die dadruch infiziert worden? Andere Spiele und Programme auf den selben Platten/Partitionen sind nicht angeführt?!

markusg · 06.03.2012, 12:17

also, du hast das zero access rootkit.
wenn du onlinebanking machst, sofort bank anrufen, onlinebanking sperren.
der pc muss neu aufgesetzt werden.
frage:
sind auf den anderen partitionen instalationen? die gehen danach sowieso nicht mehr und die partitionen können dann gleich mit formatiert werden, wenn wichtige daten runter sind.
1. Datenrettung:

deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
dann sichere Daten auf einen externen Datenträger (USB-Platte): http://www.trojaner-board.de/82533-d...ted-magic.html
Bider, Dokumente, Musik, Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neuinstallieren:

nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
Recovery CD oder Recovery Partition?
falls dies ein Fertig-PC ist, nenne Hersteller + Typ.
Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

herbiw · 07.03.2012, 12:17

Danke für die schnelle Antwort. Ich habe es befürchtet. Werd mich spätestens am WE drum kümern.

Habe noch folgenden Fragen

zu 1) Datenrettung:
Ich weiß das es nicht optimal ist, aber ich haben über die Dauer unzähliges GB an urlaubsfotos angesammelt, meine cd-sammlung am pc digitalisiert usw usw.
Hab zwar mal Daten gesichert, jedoch nicht regelmäßig und die Kapazität der externer reicht vielleicht nicht aus.

D.h. reicht es wenn ich von den Laufwerken e: und x: alle programme deinstalliere allerdings bilder,videos,pdf, xls, doc,... dateien dort liegen lasse (Werde nach dem Vorus Projekt die Datensicherung als nächstes angehen) und nur meine os platte d: formatiere? Oder werde ich dann den Virus nicht los?

2. Ist ein selbst gebauter Win XP extra gekauft. Würd ich einfach formatieren und dann sauber von scratch neu aufsetzen.

3. danke

4. das wird mühsam werd ich aber auch machen.

5. hängt wohl mit meiner Frage zu 1. zusammen.

6. ok

Vielen Dank

markusg · 07.03.2012, 15:40

1. kannst du.
2. genau
5. wird nach neu instalation und pc absicherung gemacht, melden wenn du so weit bist, falls ichs übersehe, kurze private nachicht an mich.

herbiw · 09.03.2012, 17:07

Sodale... Windows ist neu installiert.

Hab mal da rein geschaut: http://www.trojaner-board.de/51262-a...sicherung.html

win xp mit sp3 ist installiert. weitere updates erst wenn ich im inet bin.
Hab ein eingeschränktes Nutzerkonto angelegt
Firewall ist aktiv
Hab auf einem zweit rechner firefox und antivir runtergeladen und installiert.
Abschalten WIN Dienste ist laut hp nur bis sp2 sinnvoll, hab ich nicht gemacht.

Ich glaub damit hab ich alles beachtet.

Jetzt würde mich Punkt 5 interessieren bevor ich mich wieder mim inet verbinde:
"5. nach pc absicherung die gesicherten daten prüfen und falls sauber zurück spielen."

punkt 6 betrifft mich glaub ich nicht da ich aus ö bin. verwende allerdings tac-sms was ja auch ein wenig sicher sollte.

Danke

herbiw · 09.03.2012, 17:22

Hallo!
Hab jetzt WIN XP (inkl SP3) eingespielt.
Firewall ist aktiv
Firefox und AntiVir von einem zweit rechner aufgespielt.
Eingeschränktes Nutzerkonto eingerichtet.
Das mit dein WindowsDiensten ist hinfällig da ich SP3 drauf hab.
Mit TweakUI habe ich Autoplay deaktiviert.

Fehlt mir noch was zur Absicherung?
Sind weitere antispyware usw. Programm zusätzlich zum free antivir empfehlenswert?

Was ist jetzt bei Punkt 5 zu tun? (Daten prüfen) will endlich wieder ins internet ;-)

Danke

herbiw · 09.03.2012, 17:25

Hallo!

Hab jetzt Win (mit integriertem SP3) neu augesetzt.
Antivir, Firefox Tweak Ui (für autoplay ausschalten) von einem zweit rechner runtergeladen und dann installiert.
Treiber sind upgedatet.
Firewall und autoupdates aktiv.
Das mit den WIN-diensten ist ja nur pre sp2 interessant.

Fehlt mir noch was? empfiehlst du anti-spyware tools oder so? (adaware,...) hab aktuell nur win firewall und antivir.

Wie schaut jetzt der Punkt 5 (Datenprüfung aus?)

Danke

markusg · 09.03.2012, 17:42

die dienste müssen trotzdem deaktiviert werden.
absichern wie folgt:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html
sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
passage xp durcharbeiten.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung

Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
Run updateChecker
when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
Windows 7 Systemabbild erstellen (Backup)
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

herbiw · 12.03.2012, 18:13

Hi!

Bin noch beim durschauen bin auf folgende Fragen gestoßen:
Mag mich aktuell an gratis sw halten.
d.h. antivrus empfiehlst du avast statt antivir.
wie schaut es wegen spyware auf der gratis seite aus?
1. spricht was gegen adaware von lavasoft bzw. spybot s&d oder bringt das nix?

2. wie schaut es mit den von mir zur seite geschaufelten daten aus.
einfach antivirus drüber laufen lassen oder auch andere tolls, nicht damit ich mir gleich wieder was einfange?

danke

markusg · 12.03.2012, 18:20

du machst onlinebanking, da solltest du die 20 € im jahr für emsisoft ausgeben, ist einfach noch mal nen besserer schutz.
adaware und spybot sind nicht nötig.

herbiw · 15.03.2012, 22:03

Hi

Zuallererst möchte ich mich mal bedanken.
Rechner läuft gut, fühle mich in der sandbox sicher *gg*

Echt Top die Beratung hier.

Wegen den alten Daten wollte ich nochmal fragen.
Soll ich da irgendwas drüber laufen lassen? Oder nochmal eine Auswertung ob noch irgendwo auf dem Rechner ein Virus ist?

Bezüglich emsisoft denk ich drüber nach. bin über handytack eigentlich doppelt abgesichert. d.h. jemand bräuchte physischen zugang zu meinem handy plus benutzername und pw um schaden anzurichten.

markusg · 16.03.2012, 11:26

nein,
handy tan ist unsicher.
man müsste nur dein handy mit malware infizieren, oder dein bank profil so endern, dass ne andere handy nummer eingetragen ist.
chip tan mit banking software ist eig das einzig wirklich sichere.

herbiw · 17.03.2012, 18:14

hm. chip tan wird von meiner bank nicht angeboten.
bank profil ändern ist durch den user nicht möglich.
ich mache nie online banking von meinem handy.
d.h. der müßte sowohl mein handy klauen/infizieren als auch mein netbanking pw herausfinden.
ist sicher nicht auszuschließen, aber ein risiko mit dem ich leben kann.

@ bezüglich daten rückspielen ist noch etwas zu beachten? oder kann da nix mehr vom virus übrig sein? da mich nur web.de über den virus informiert habe und ich den sonst nicht bemerkt hab bin ich noch etwas beunruhigt ob nicht noch was das ist?

markusg · 17.03.2012, 19:54

hi,
daten halt noch scannen.
und dann zurück kopieren
emsisoft schon angesehen? würde die pc sicherheit noch mal erhöhen.

herbiw · 19.03.2012, 18:27

Hi!

Hab zum emisoft noch eine Frage.
hab jetzt einmal die Gratisversion downgeloadet.
Das Ding ist ja nicht nur antimaleware sonder auch antivurs?!?
d.h. avast deinstallieren wenn ich das installiere?

Danke

[Zeus Virus] mitgeteilt von web.de abuse

Log-Analyse und Auswertung: [Zeus Virus] mitgeteilt von web.de abuse