GVU Trojaner Windows XP 32bit

ischDD · 26.03.2012, 20:54

Hallo zusammen,

bei einem bekannten hat der GVU Virus zugeschlagen und nun muss ich das System bereinigen:

ESET Scan brachte folgendes:

Zitat:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=f6fec60d3080434eb5cd19a2b7df452b
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-26 07:17:53
# local_time=2012-03-26 09:17:53 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1792 16777175 100 0 13694841 13694841 0 0
# compatibility_mode=6143 16777215 0 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 200 200 0 0
# scanned=60581
# found=7
# cleaned=0
# scan_time=3571
C:\Dokumente und Einstellungen\Steinert\Anwendungsdaten\Media Player Classic\{7B2B229D-D1EF-4CB2-9402-7E7927C9EC33}\UpgradeChecker.exe a variant of Win32/Kryptik.ADDU trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Steinert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\fd883c0-2b798aae a variant of Java/TrojanDownloader.Agent.NDR trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Steinert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1\655ced01-76a19617 a variant of Java/TrojanDownloader.Agent.NDR trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Steinert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2\3250d42-6e22a130 Java/Agent.EI trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Steinert\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\63\5b14657f-6eda6f57 Java/Agent.EI trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Steinert\Lokale Einstellungen\Temp\Main.class a variant of Java/Exploit.CVE-2011-3544.BF trojan (unable to clean) 00000000000000000000000000000000 I
${Memory} a variant of Win32/Gataka.A trojan 00000000000000000000000000000000 I

zuvor hatte ich das system per MSConfig verdächtige Programme am starten gehindert und das Windows wieder gangbar gemacht und mit Avira, Malwarebytes' Anti-Malware. Spybot - Search & Destroy und CCleaner habe ich schon erste Scans unternommen.

Paar Sachen machen mich noch stutzig und ich weiß nicht, ob sie mit dem Befall zusammen hängen:

Windows lässt sich nicht im abgesicherten Modus Starten (reboot)
Firefox kann keine https Seiten öffnen (Dieser Verbindung wird nicht vertraut - Bei allen Websiten)
Der Prozess iexplore.exe läuft im Hintergrund ohne das der IE offen ist

Hier noch das log von OTL:

Zitat:

OTL logfile created on: 26.03.2012 19:57:02 - Run 1
OTL by OldTimer - Version 3.2.39.2 Folder = F:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1,87 Gb Total Physical Memory | 1,35 Gb Available Physical Memory | 71,84% Memory free
3,04 Gb Paging File | 2,57 Gb Available in Paging File | 84,52% Paging File free
Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 78,13 Gb Total Space | 50,17 Gb Free Space | 64,22% Space Free | Partition Type: NTFS
Drive D: | 70,92 Gb Total Space | 68,38 Gb Free Space | 96,42% Space Free | Partition Type: NTFS
Drive F: | 118,88 Mb Total Space | 34,49 Mb Free Space | 29,02% Space Free | Partition Type: FAT32

Computer Name: PC5 | User Name: user | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2012.03.26 19:45:26 | 000,593,920 | ---- | M] (OldTimer Tools) -- F:\OTL.exe
PRC - [2011.10.11 15:00:02 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.10.11 14:59:49 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.10.11 14:59:37 | 000,258,512 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2011.10.11 14:59:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.06.05 11:48:14 | 000,144,712 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2006.11.03 18:20:12 | 000,866,584 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Defender\MSASCui.exe
PRC - [2006.11.03 18:19:58 | 000,013,592 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Defender\MsMpEng.exe
PRC - [2005.08.11 16:30:30 | 000,081,920 | ---- | M] (Macrovision Corporation) -- C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

========== Modules (No Company Name) ==========

MOD - [2012.01.03 15:10:46 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
MOD - [2011.10.11 14:59:51 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2006.10.31 08:35:00 | 000,196,608 | ---- | M] () -- C:\WINDOWS\system32\nvapi.dll
MOD - [2005.11.15 01:43:58 | 000,029,152 | R--- | M] () -- C:\WINDOWS\system32\spool\prtprocs\w32x86\FSPPMFP.DLL

========== Win32 Services (SafeList) ==========

SRV - [2011.10.11 14:59:49 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.10.11 14:59:37 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.06.29 15:59:18 | 000,155,344 | ---- | M] (Avanquest Software) [On_Demand | Stopped] -- C:\Programme\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe -- (Sony Ericsson PCCompanion)
SRV - [2010.01.09 22:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2010.01.09 22:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2009.06.05 11:48:14 | 000,144,712 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2006.11.03 18:19:58 | 000,013,592 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MsMpEng.exe -- (WinDefend)

========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)
DRV - [2012.02.16 09:19:09 | 000,137,416 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.10.11 15:00:01 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.10.11 15:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.25 17:48:00 | 000,114,728 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018mdm.sys -- (s1018mdm)
DRV - [2009.03.25 17:48:00 | 000,109,864 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018unic.sys -- (s1018unic) Sony Ericsson Device 1018 USB Ethernet Emulation (WDM)
DRV - [2009.03.25 17:48:00 | 000,106,208 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018mgmt.sys -- (s1018mgmt) Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM)
DRV - [2009.03.25 17:48:00 | 000,104,744 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018obex.sys -- (s1018obex)
DRV - [2009.03.25 17:48:00 | 000,086,824 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018bus.sys -- (s1018bus) Sony Ericsson Device 1018 driver (WDM)
DRV - [2009.03.25 17:48:00 | 000,026,024 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018nd5.sys -- (s1018nd5) Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS)
DRV - [2009.03.25 17:48:00 | 000,015,016 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s1018mdfl.sys -- (s1018mdfl)
DRV - [2008.01.09 13:28:34 | 000,027,632 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\seehcri.sys -- (seehcri)
DRV - [2007.12.10 15:22:22 | 000,110,120 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s3017unic.sys -- (s3017unic) Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (WDM)
DRV - [2007.12.10 15:22:22 | 000,100,648 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s3017obex.sys -- (s3017obex)
DRV - [2007.12.10 15:22:20 | 000,104,616 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s3017mgmt.sys -- (s3017mgmt) Sony Ericsson Device 3017 USB WMC Device Management Drivers (WDM)
DRV - [2007.12.10 15:22:20 | 000,025,512 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s3017nd5.sys -- (s3017nd5) Sony Ericsson Device 3017 USB Ethernet Emulation SEMC3017 (NDIS)
DRV - [2007.12.10 15:22:18 | 000,110,632 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s3017mdm.sys -- (s3017mdm)
DRV - [2007.12.10 15:22:18 | 000,015,016 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s3017mdfl.sys -- (s3017mdfl)
DRV - [2007.12.10 15:22:14 | 000,083,880 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s3017bus.sys -- (s3017bus) Sony Ericsson Device 3017 driver (WDM)
DRV - [2007.07.10 03:56:00 | 004,449,280 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006.11.27 10:33:54 | 000,019,968 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2006.11.27 10:33:50 | 000,058,368 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2006.06.28 11:38:56 | 000,105,088 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\nvata.sys -- (nvata)
DRV - [2005.06.03 13:47:06 | 000,079,488 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750obex.sys -- (k750obex)
DRV - [2005.06.03 13:47:04 | 000,081,728 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750mgmt.sys -- (k750mgmt)
DRV - [2005.06.03 13:47:00 | 000,089,872 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750mdm.sys -- (k750mdm)
DRV - [2005.06.03 13:46:58 | 000,006,576 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750mdfl.sys -- (k750mdfl)
DRV - [2005.06.03 13:46:52 | 000,055,216 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750bus.sys -- (k750bus) Sony Ericsson 750 driver (WDM)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

========== FireFox ==========

FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
FF - prefs.js..browser.search.selectedEngine: "Winamp Search"
FF - prefs.js..browser.search.suggest.enabled: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..keyword.URL: "hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query="

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.03.20 11:29:11 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.03.25 10:11:27 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 10.0.2\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.08.18 08:03:03 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 10.0.2\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins

[2010.11.02 12:05:47 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Mozilla\Extensions
[2010.11.02 12:05:47 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2012.02.17 15:34:54 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Mozilla\Firefox\Profiles\8r2r0zzl.default\extensions
[2011.11.11 11:38:17 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.03.20 11:29:11 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.02.17 09:28:52 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.02.17 09:28:52 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.02.17 09:28:52 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.02.17 09:28:52 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.02.17 09:28:52 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.02.17 09:28:52 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2011.03.11 10:19:42 | 000,001,355 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeCS5ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe (Macrovision Corporation)
O4 - HKLM..\Run: [ISUSScheduler] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (Macrovision Corporation)
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [PSBO Clean] C:\Programme\Box Operator\PSBO.exe ()
O4 - HKLM..\Run: [Windows Defender] C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [LicenseValidator] C:\Dokumente und Einstellungen\user\Anwendungsdaten\Identities\{66AE9753-95A2-4E3A-9C7A-9F617565076A}\LicenseValidator.exe ()
O4 - HKCU..\Run: [Sony Ericsson PC Companion] C:\Programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe (Sony Ericsson)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html ()
O8 - Extra context menu item: An OneNote s&enden - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - C:\Programme\Microsoft Office\Office14\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{2626B4CD-8D3E-44FF-B57D-8EE6E8B6E1F9}: NameServer = 192.168.178.1,192.168.99.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:AutorunsDisabled () -
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {091EB208-39DD-417D-A5DD-7E2C2D8FB9CB} - C:\Programme\Windows Defender\MpShHook.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.06.23 12:26:51 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2012.03.26 19:43:23 | 000,237,072 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MpSigStub.exe
[2012.03.26 19:41:58 | 000,000,000 | ---D | C] -- C:\Programme\Windows Defender
[2012.03.26 19:37:37 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\GroupPolicy
[2012.03.25 12:22:28 | 000,258,560 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\user\Desktop\OTH.scr
[2012.03.25 12:02:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\Temp
[2012.03.25 11:55:33 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2012.03.25 11:55:33 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2012.03.25 11:55:33 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2012.03.25 11:55:33 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2012.03.25 11:55:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2012.03.25 11:54:52 | 000,000,000 | ---D | C] -- C:\Qoobox
[2012.03.25 11:54:45 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\user\Startmenü\Programme\Verwaltung
[2012.03.25 10:02:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user\Desktop\AutoRuns
[2012.03.25 09:40:30 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\appmgmt
[2012.03.25 09:31:58 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\user\Recent
[2012.03.25 09:02:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CCleaner
[2012.03.25 09:02:51 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2012.03.25 00:09:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Malwarebytes
[2012.03.25 00:09:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.03.25 00:09:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.03.25 00:09:08 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.03.25 00:09:07 | 000,000,000 | ---D | C] -- C:\Programme\System
[2012.03.24 14:19:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2012.03.24 14:19:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Security Task Manager
[2012.03.24 14:19:06 | 000,000,000 | ---D | C] -- C:\Programme\Security Task Manager
[2012.03.24 12:25:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy
[2012.03.24 12:25:42 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2012.03.24 12:25:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2012.03.22 11:22:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user\Anwendungsdaten\TeamViewer
[2012.03.22 11:22:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Media Player Classic
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2012.03.26 19:55:14 | 000,057,877 | ---- | M] () -- C:\Dokumente und Einstellungen\user\Desktop\bookmarks.html
[2012.03.26 19:55:04 | 000,025,892 | ---- | M] () -- C:\Dokumente und Einstellungen\user\Desktop\bookmarks-2012-03-26.json
[2012.03.26 19:45:06 | 000,000,322 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job
[2012.03.26 19:41:24 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.03.26 19:39:06 | 000,008,258 | RHS- | M] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2012.03.26 19:20:17 | 000,081,496 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2012.03.26 19:19:58 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.03.25 12:15:43 | 005,476,480 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.03.25 12:13:20 | 000,258,560 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\user\Desktop\OTH.scr
[2012.03.25 10:11:27 | 000,001,714 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader X.lnk
[2012.03.25 10:02:21 | 000,534,483 | R--- | M] () -- C:\Dokumente und Einstellungen\user\Desktop\AutoRuns.zip
[2012.03.25 09:36:31 | 000,189,844 | ---- | M] () -- C:\Dokumente und Einstellungen\user\Eigene Dateien\cc_20120325_093603.reg
[2012.03.25 09:02:50 | 000,470,556 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.03.25 09:02:50 | 000,450,946 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.03.25 09:02:50 | 000,089,250 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.03.25 09:02:50 | 000,074,868 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.03.24 20:42:27 | 000,000,239 | -HS- | M] () -- C:\boot.ini
[2012.03.23 14:38:03 | 000,287,147 | ---- | M] () -- C:\WINDOWS\FontData.fdb
[2012.03.23 09:22:53 | 000,002,527 | ---- | M] () -- C:\Dokumente und Einstellungen\user\Desktop\CorelDRAW X3.lnk
[2012.03.22 09:57:05 | 000,002,489 | ---- | M] () -- C:\Dokumente und Einstellungen\user\Desktop\Microsoft Word 2010.lnk
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2012.03.26 19:55:14 | 000,057,877 | ---- | C] () -- C:\Dokumente und Einstellungen\user\Desktop\bookmarks.html
[2012.03.26 19:55:04 | 000,025,892 | ---- | C] () -- C:\Dokumente und Einstellungen\user\Desktop\bookmarks-2012-03-26.json
[2012.03.26 19:45:06 | 000,000,322 | -H-- | C] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job
[2012.03.26 19:42:00 | 000,000,927 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Defender.lnk
[2012.03.26 19:38:19 | 000,008,258 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2012.03.25 11:55:33 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2012.03.25 11:55:33 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2012.03.25 11:55:33 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2012.03.25 11:55:33 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2012.03.25 11:55:33 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2012.03.25 10:11:27 | 000,001,804 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader X.lnk
[2012.03.25 10:11:27 | 000,001,714 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader X.lnk
[2012.03.25 10:02:20 | 000,534,483 | R--- | C] () -- C:\Dokumente und Einstellungen\user\Desktop\AutoRuns.zip
[2012.03.25 09:36:12 | 000,189,844 | ---- | C] () -- C:\Dokumente und Einstellungen\user\Eigene Dateien\cc_20120325_093603.reg
[2012.02.15 09:16:46 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll

< End of report >

Das das System durch eine Winamp installation auch schon entsprechende Einträge Suche und toobar bekommen hat hab ich auch schon gesehen.

Gruß und Danke
isch

markusg · 27.03.2012, 09:52

hi
wieso wurde combofix auf eigene faust eingesetzt, ich denke die ansagen im tutorial sind deutlich genug...
wo ist vor allem das logfile, combofix.txt
wo sind die Malwarebytes logs.
es werden ab jetzt, nur noch die von mir angeordneten scans durchgeführt.
danke.

ischDD · 27.03.2012, 10:06

Ich habe das System auch nur übernommen.

Nach dem Log von Malwarebytes schaue ich mal.
Hatte aber keine Funde angezeigt.

Hier noch das log von malwarebytes

Zitat:

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.24.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Steinert :: PC5 [Administrator]

24.03.2012 23:23:16
mbam-log-2012-03-24 (23-23-16).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 184728
Laufzeit: 20 Minute(n), 47 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Hat nichts gefunden

ischDD · 28.03.2012, 21:05

Gits schon neue Infos wie ich weiter verfahren soll?

markusg · 29.03.2012, 10:13

sorry, habs übersehen.
- internet explorer 8, auch wenn du nen andern browser nutzt, muss er aktuell sein.
Detail Seite Windows Internet Explorer 8 für Windows XP
- automatische updates so konfigurieren, das sie automatisch geladen/instaliert werden:
Konfigurieren und Verwenden des Features "Automatische Updates" in Windows

wenn fertig, melden bitte.

ischDD · 29.03.2012, 16:50

Kein Problem ist ja auch haufen los zu Zeit.

Automatsiche Updates sind bereits eingestellt und auf dem aktuellen Stand.

IE6 war installiert und ich habe jetzt auf IE8 geupdatet, ist mir nicht aufgefallen, da FF genutzt wurde.

Nur zur Info Java habe ich deinstalliert, da ich von anfang an vermutet habe, dass das das Einfallstor war.

Kann soll ich weitere logs erstellen?

Danke

markusg · 29.03.2012, 16:53

hi,
java ist unteranderem ein weg um deinen pc zu infizieren, aber auch adobe, quicktime etc, alles muss aktuell sein, da kümmern wir uns gleich drumm.
lade den CCleaner standard:
CCleaner Download - CCleaner 3.17.1689
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

ischDD · 30.03.2012, 15:49

Anbei die Liste, habe versucht durch einrücken etwas übersichtlicher zu machen.

Code:

ATTFilter

notwendig	Adobe Flash Player 11 Plugin	Adobe Systems Incorporated					30.03.2012				11.2.202.228
notwendig	Adobe Photoshop 7.0	Adobe Systems, Inc.										30.03.2012				7.0
notwendig	Adobe Reader X (10.1.2) - Deutsch	Adobe Systems Incorporated				25.03.2012		122,3MB	10.1.2
unnötig		Apple Mobile Device Support	Apple Inc.										15.07.2009		41,5MB	2.5.1.3
unnötig		Apple Software Update	Apple Inc.											28.11.2008		2,16MB	2.1.1.116
notwendig	Avira Free Antivirus	Avira												30.03.2012				12.0.0.898
notwendig	AVM FRITZ!fax																30.03.2012		
unnötig		Bonjour	Apple Inc.															11.03.2009		0,49MB	1.0.106
notwendig	Canon Digital Camera USB WIA Driver											30.03.2012		
notwendig	Canon PhotoRecord															30.03.2012		
notwendig	Canon Utilities PhotoStitch 3.1												30.03.2012		
notwendig	Canon Utilities RAW Image Converter											30.03.2012		
notwendig	Canon Utilities RemoteCapture 2.1											30.03.2012		
notwendig	Canon Utilities ZoomBrowser EX												30.03.2012		
notwendig	CCleaner	Piriform														30.03.2012				3.16
notwendig	CorelDRAW Graphics Suite X3	Corel Corporation								23.06.2008		405MB	13.0
notwendig	ESET Online Scanner v3														30.03.2012		
notwendig	High Definition Audio Driver Package - KB888111	Microsoft Corporation		30.03.2012				20040219.000000
unnötig		iTunes	Apple Inc.															05.07.2009		111,8MB	8.2.0.23
notwendig	Malwarebytes Anti-Malware Version 1.60.1.1000	Malwarebytes Corporation	24.03.2012				1.60.1.1000
unbekannt	Microsoft .NET Framework 2.0 Language Pack - DEU	Microsoft Corporation	17.11.2008		
unbekannt	Microsoft .NET Framework 2.0 Service Pack 2	Microsoft Corporation			15.02.2012		185,2MB	2.2.30729
unbekannt	Microsoft .NET Framework 3.0 Service Pack 2	Microsoft Corporation			23.06.2010		209MB	3.2.30729
unbekannt	Microsoft .NET Framework 3.5 SP1	Microsoft Corporation					11.01.2012		
unbekannt	Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Corporation	17.02.2010		1
unbekannt	Microsoft Office 2000 SR-1 Professional	Microsoft Corporation				07.07.2008		178,5MB	9.00.3821
notwendig	Microsoft Office Home and Student 2010	Microsoft Corporation				30.03.2012				14.0.6029.1000
unbekannt	Microsoft User-Mode Driver Framework Feature Pack 1.0Microsoft Corporation	17.11.2008		
unbekannt	Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053	Microsoft Corporation	03.02.2011	0,11MB	8.0.50727.4053
unbekannt	Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation			17.06.2011		5,28MB	8.0.61001
unbekannt	Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148	Microsoft Corporation	30.03.2010	10,2MB	9.0.30729.4148
unbekannt	Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161	Microsoft Corporation	17.06.2011	10,2MB	9.0.30729.6161
unbekannt	Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219	Microsoft Corporation	24.10.2011	15,0MB	10.0.40219
notwendig	Mozilla Firefox 11.0 (x86 de)	Mozilla										30.03.2012				11.0
notwendig	Mozilla Thunderbird 10.0.2 (x86 de)	Mozilla	30.03.2012		10.0.2
unbekannt	MSXML 4.0 SP2 (KB936181)	Microsoft Corporation							24.06.2008		2,62MB	4.20.9848.0
unbekannt	MSXML 4.0 SP2 (KB954430)	Microsoft Corporation							12.11.2008		2,67MB	4.20.9870.0
unbekannt	MSXML 4.0 SP2 (KB973688)	Microsoft Corporation							25.11.2009		2,77MB	4.20.9876.0
unbekannt	MSXML 6 Service Pack 2 (KB973686)	Microsoft Corporation					25.11.2009		1,40MB	6.20.2003.0
notwendig	NVIDIA Drivers																30.03.2012		
unnötig		QuickTime	Apple Inc.														15.07.2009		74,6MB	7.62.14.0
notwendig	Realtek High Definition Audio Driver	Realtek Semiconductor Corp.			27.06.2008				5.10.0.5443
notwendig	Security Task Manager 1.8d	Neuber Software									30.03.2012				1.8d
notwendig	Sony Ericsson Media Manager 1.1	Sony Ericsson								17.11.2008		62,6MB	1.1.550
notwendig	Sony Ericsson PC Companion 2.02.002	Sony Ericsson							13.12.2011				2.02.002
notwendig	Sony Ericsson PC Suite 1.20.173	Sony Ericsson								02.07.2008		81,6MB	1.20.173
notwendig	Sophos Windows Shortcut Exploit Protection Tool	Sophos						28.07.2010		0,11MB	1.0.0.0
notwendig	Spybot - Search & Destroy	Safer Networking Limited						24.03.2012				1.6.2
unnötig		Winamp Toolbar																30.03.2012		
notwendig	Windows Defender	Microsoft Corporation									26.03.2012		9,10MB	1.1.1593.0
unnötig		Windows Internet Explorer 8	Microsoft Corporation							29.03.2012				20090308.140743
unnötig		Windows Media Format 11 runtime												30.03.2012		
unnötig		Windows Media Player 11														30.03.2012		
notwendig	Windows XP Service Pack 3	Microsoft Corporation							02.02.2011				20080414.031514

markusg · 30.03.2012, 16:36

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
Apple : alle
ESET : bei bedarf instalieren.
iTunes
QuickTime
Sophos Windows Shortcut Exploit : spiel einfach alle windows updates ein, dann ist das nicht nötig.
Spybot : nicht mehr sonderlich hilfreich, behalte und nutze lieber von zeit zu zeit malwarebytes.
Winamp

öffne CCleaner analysieren CCleaner starten, pc neustarten, testen wie das system läuft.

ischDD · 30.03.2012, 19:32

Aktuelles Flash Update wurde beim letzten Neustart eingespielt.
Acrobat Reader ist auch aktuell einstellungen hab ich gemacht.

Nicht benötige Programme hab ich deinstalliert.

CCleaner hab ich laufen lassen, hat paar Temp Internetdateien, Cookies und Co gelöscht nichts auffälliges.

Stutzig mach mich noch, dass FF immer die Meldung bei jeder https: Seite bringt:

Code:

ATTFilter

Dieser Verbindung wird nicht vertraut
Technische Details
          addons.mozilla.org verwendet ein ungültiges Sicherheitszertifikat.

Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.
Das Zertifikat gilt nur für Production Security Services.

(Fehlercode: sec_error_untrusted_issuer)

auch eine neuinstllation und das Löschen des Profils brachte nichts.

Anivir meldet Gerade:

Code:

ATTFilter

In der Datei 'C:\Dokumente und Einstellungen\User\Anwendungsdaten\Identities\{66AE9753-95A2-4E3A-9C7A-9F617565076A}\LicenseValidator.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Injector.dvkc' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Der Security Task Manager sagt folgendes zu dem Prozess:

Code:

ATTFilter

Prozess Beschreibung: ArcaVir Antispam list modification tool
Produkt: ArcaVir 2009
Firma: WestByte
Datei: LicenseValidator.exe

markusg · 30.03.2012, 19:35

o, das mit den https verbindungen hatte ich übersehen, weist auf ein mögliches rootkit hin, deswegen:
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:

deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
dann sichere Daten auf einen externen Datenträger (USB-Platte): http://www.trojaner-board.de/82533-d...ted-magic.html
Bider, Dokumente, Musik, Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neuinstallieren:

nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
Recovery CD oder Recovery Partition?
falls dies ein Fertig-PC ist, nenne Hersteller + Typ.
Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

ischDD · 31.03.2012, 13:58

Ich hab den PC noch mal mit der Kaspersky Rescue Disk 10 gebootet und scannen lassen.

Dabei konnten die zwei restlichen Schädlinge entfernt werden.

Firefox verhält sich wieder normal https: Seiten wenden ohne Problme geöffnet und die iexplore.exe ist auch verschwunden.

Code:

ATTFilter

Status: Gelöscht  (Ereignisse: 6)	
31.03.12 06:59	Gelöscht	trojanisches Programm Trojan-Dropper.Win32.Injector.dvkc	C:/Dokumente und Einstellungen/User/Anwendungsdaten/Identities/{E49DB9EB-EE92-4A44-8870-DD5AFCDDD19D}/LicenseValidator.exe	Hoch	
31.03.12 07:00	Gelöscht	trojanisches Programm Trojan-Dropper.Win32.Injector.dvkc	C:/Dokumente und Einstellungen/User/Anwendungsdaten/TeamViewer/{BBC0F04C-D4D3-4995-A6FE-7FEF074091C5}/UpgradeChecker.exe	Hoch	
31.03.12 07:01	Gelöscht	trojanisches Programm HEUR:Trojan.Win32.Generic	C:/System Volume Information/_restore{32992591-0146-4D98-9249-95BD7D09BC23}/RP938/A0103823.exe	Hoch	
31.03.12 07:02	Gelöscht	trojanisches Programm Trojan-Downloader.Win32.Agent.vbxu	C:/System Volume Information/_restore{32992591-0146-4D98-9249-95BD7D09BC23}/RP939/A0103831.exe	Hoch	
31.03.12 07:02	Gelöscht	trojanisches Programm Trojan-Dropper.Win32.Injector.dvkc	C:/System Volume Information/_restore{32992591-0146-4D98-9249-95BD7D09BC23}/RP947/A0105353.exe	Hoch	
31.03.12 07:02	Gelöscht	trojanisches Programm Trojan-Dropper.Win32.Injector.dvkc	C:/System Volume Information/_restore{32992591-0146-4D98-9249-95BD7D09BC23}/RP948/A0105354.exe	Hoch

markusg · 31.03.2012, 15:42

ok war nichts weiter tragisches.
lade den CCleaner standard:
CCleaner Download - CCleaner 3.17.1689
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

ischDD · 31.03.2012, 21:48

Zitat:

Zitat von markusg

ok war nichts weiter tragisches.
lade den CCleaner standard:
CCleaner Download - CCleaner 3.17.1689
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Hatte ich bereits in Post #8 gemacht

markusg · 01.04.2012, 17:28

sorry, tretn noch probleme auf momentan?

27.03.2012, 09:52	#2
markusg /// Malware-holic	GVU Trojaner Windows XP 32bit hi wieso wurde combofix auf eigene faust eingesetzt, ich denke die ansagen im tutorial sind deutlich genug... wo ist vor allem das logfile, combofix.txt wo sind die Malwarebytes logs. es werden ab jetzt, nur noch die von mir angeordneten scans durchgeführt. danke. __________________ __________________

01.04.2012, 17:28	#15
markusg /// Malware-holic	GVU Trojaner Windows XP 32bit sorry, tretn noch probleme auf momentan? __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

GVU Trojaner Windows XP 32bit

Log-Analyse und Auswertung: GVU Trojaner Windows XP 32bit