Hallo!

Ich hab mir nach Ewigkeiten wieder mal Malware eingefangen.
Es würde mir sehr helfen wenn sich jemand die Logs ansehen könnte!
(Anm.: Ich denke das Programm heißt SMART HDD, bin grad nicht sicher ob das das selbe ist wie Smart Defragmenter)

Was passiert ist: Gestern hat sich SMART auf meinem PC geöffnet und allerlei Unsinn gemacht, unter anderem dauernd angebliche Fehlermeldungen ausgegeben und mir den Zugang zu allen meinen Daten gesperrt. (Leerer Desktop, nichts sichtbar im Windows Explorer.)

Ich hab die Prozesse mit rkill gestoppt und mbam drüberlaufen lassen, hier die log.

Zitat:

Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.01.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
xxx :: xxx-NOTEBOOK [Administrator]

Schutz: Aktiviert

02.04.2012 01:10:41
mbam-log-2012-04-02 (01-10-41).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 176753
Laufzeit: 4 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Users\xxx\Downloads\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> Keine Aktion durchgeführt.
C:\ProgramData\tbEDQ75VFH2EJb.exe (Rogue.FakeHDD) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\xxx\AppData\Local\Temp\aWrRGEdRmTMn7B.exe.tmp (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Hier Log Nummer 2:

Zitat:

Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.01.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
xxx:: xxx-NOTEBOOK [Administrator]

Schutz: Aktiviert

01.04.2012 21:29:26
mbam-log-2012-04-01 (21-29-26).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 36848
Laufzeit: 8 Minute(n), 16 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|FdrllxJJnSf.exe (Trojan.Agent) -> Daten: C:\ProgramData\FdrllxJJnSf.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\ProgramData\FdrllxJJnSf.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Nach Anweisung habe ich dann defogger angewendet. Das dds Logfile ergibt folgendes:
(ich poste hier mal nur das erste, gebt Bescheid wenn ihr beide braucht)

Zitat:

.DDS Logfile:

Code: Alles auswählenAufklappen

ATTFilter

DDS (Ver_2011-08-26.01) - NTFSx86 
Internet Explorer: 7.0.6002.18005  BrowserJavaVersion: 1.6.0_26
Run by xxx at 11:00:34 on 2012-04-02
.
============== Running Processes ===============
.
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.at/
uDefault_Page_URL = hxxp://www1.euro.dell.com/content/default.aspx?c=at&l=de&s=gen
mDefault_Page_URL = hxxp://www1.euro.dell.com/content/default.aspx?c=at&l=de&s=gen
mSearchAssistant = about:blank
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\program files\avast software\avast\aswWebRepIE.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
TB: avast! WebRep: {8e5e2654-ad2d-48bf-ac2d-d17f00898d06} - c:\program files\avast software\avast\aswWebRepIE.dll
mRun: [Apoint] c:\program files\delltpad\Apoint.exe
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [Broadcom Wireless Manager UI] c:\windows\system32\WLTRAY.exe
mRun: [IAAnotif] c:\program files\intel\intel matrix storage manager\iaanotif.exe
mRun: [Dell Webcam Central] "c:\program files\dell webcam\dell webcam central\WebcamDell2.exe" /mode2
mRun: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
mRun: [avast] "c:\program files\avast software\avast\avastUI.exe" /nogui
mRun: [Malwarebytes' Anti-Malware] "c:\program files\malwarebytes' anti-malware\mbamgui.exe" /starttray
mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Nach Microsoft E&xel exportieren - c:\progra~1\micros~3\office12\EXCEL.EXE/3000
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C}
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503}
Trusted Zone: samsungsetup.com\www
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{77DDFD15-5F32-41E9-B841-8289AAE4EBE8} : DhcpNameServer = 192.168.2.1
TCP: Interfaces\{C281DDA3-1EB1-4078-A2D7-2963FDC7777E} : DhcpNameServer = 192.168.0.1
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
Notify: GoToAssist - c:\program files\citrix\gotoassist\514\G2AWinLogon.dll
Notify: igfxcui - igfxdev.dll
IFEO: delldock.exe - "c:\program files\tuneup utilities 2011\TUAutoReactivator32.exe"
IFEO: dsc.exe - "c:\program files\tuneup utilities 2011\TUAutoReactivator32.exe"
Hosts: 127.0.0.1	www.spywareinfo.com
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\users\xxx\appdata\roaming\mozilla\firefox\profiles\hcby53ez.default\
FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu
FF - prefs.js: browser.startup.homepage - hxxp://www.google.at/
FF - prefs.js: network.proxy.type - 0
FF - plugin: c:\program files\adobe\reader 9.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\google\update\1.3.21.111\npGoogleUpdate3.dll
FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\programdata\zylom\zylomgamesplayer\npzylomgamesplayer.dll
.
---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: content.switch.threshold - 600000
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: browser.blink_allowed - false
FF - user.js: browser.tabs.tabMinWidth - 100
.
============= SERVICES / DRIVERS ===============
.
R? ASPI;Advanced SCSI Programming Interface Driver
R? cmnsusbser;Mobile Connector USB Device for Legacy Serial Communication LCT2053s
R? DockLoginService;Dock Login Service
R? gupdate;Google Update Service (gupdate)
R? gupdatem;Google Update-Dienst (gupdatem)
R? massfilter;ZTE Mass Storage Filter Driver
R? PCD5SRVC{3F6A8B78-EC003E00-05040104};PCD5SRVC{3F6A8B78-EC003E00-05040104} - PCDR Kernel Mode Service Helper Driver
R? SkypeUpdate;Skype Updater
R? TuneUp.UtilitiesSvc;TuneUp Utilities Service
R? TuneUpUtilitiesDrv;TuneUpUtilitiesDrv
S? AESTFilters;Andrea ST Filters Service
S? aswFsBlk;aswFsBlk
S? aswMonFlt;aswMonFlt
S? aswSnx;aswSnx
S? aswSP;aswSP
S? avast! Antivirus;avast! Antivirus
S? Change Modem Device Service;Change Modem Device Service
S? CtClsFlt;Creative Camera Class Upper Filter Driver
S? FontCache;Windows-Dienst f�r Schriftartencache
S? MBAMProtector;MBAMProtector
S? MBAMService;MBAMService
S? OA009Ufd;Creative Camera OA009 Upper Filter Driver
S? OA009Vid;Creative Camera OA009 Function Driver
S? SSPORT;SSPORT
S? yksvc;Marvell Yukon Service
.
=============== Created Last 30 ================
.
.
==================== Find3M  ====================
.
2012-03-07 00:15:19	41184	-c--a-w-	c:\windows\avastSS.scr
2012-03-07 00:03:51	612184	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2012-03-07 00:01:48	57688	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2012-02-23 08:18:36	237072	-c----w-	c:\windows\system32\MpSigStub.exe
2012-02-14 15:45:30	219648	-c--a-w-	c:\windows\system32\d3d10_1core.dll
2012-02-14 15:45:30	160768	-c--a-w-	c:\windows\system32\d3d10_1.dll
2012-02-13 14:12:08	1172480	-c--a-w-	c:\windows\system32\d3d10warp.dll
2012-02-13 13:47:57	683008	-c--a-w-	c:\windows\system32\d2d1.dll
2012-02-13 13:44:40	1068544	-c--a-w-	c:\windows\system32\DWrite.dll
2012-02-02 15:16:25	2044416	-c--a-w-	c:\windows\system32\win32k.sys
2012-01-09 15:54:08	613376	-c--a-w-	c:\windows\system32\rdpencom.dll
2012-01-09 13:58:29	180736	-c--a-w-	c:\windows\system32\drivers\rdpwd.sys
.
============= FINISH: 11:01:35,28 ===============
         

--- --- ---

Beim Durchlauf von GMER ist es mir nicht gelungen avast zu beenden, ich hoffe das passt auch so. Das Logfile ist zu groß, befindet sich daher im Anhang des nächsten Beitrags.


Aktuelle Situation: SMART läuft nicht mehr sichtbar, aber ich habe weiter keinen Zugriff auf meine Daten. Sie scheinen bei der Virenprüfung ganz normal auf und indirekt kann ich Dokumente zB auch über die "zuletzt geöffneten Dokumente" in Open Office öffnen. Mein Desktop ist nicht mehr sichtbar, genausowenig meine Dateien im Windows Explorer. Seit dem Durchlauf von mbam ist auch der PC mehrmals abgestürzt, blauer Bildschirm, hardware error message.


Ich hoffe jemand kann helfen,
Vielen Dank schon jetzt!
linx

Hier noch das Logfile für GMER im Anhang.

Ich kann aus irgendeinem Grund die vorigen Beiträge nicht mehr editieren, daher auf diesem Weg.
Update: Mit unhide.exe konnten die Dokumente wieder sichtbar gemacht werden. Danke @Grinler

Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Danke fürs Ansehen cosinus!

Hier der Inhalt der log.txt:

Zitat:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=10cd90f7aace644f99df0b165109b75a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-05 12:57:14
# local_time=2012-04-05 02:57:14 (+0100, Mitteleuropäische Sommerzeit)
# country="Austria"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=5892 16776574 100 100 256756 171111888 0 0
# compatibility_mode=8192 67108863 100 0 446 446 0 0
# scanned=302180
# found=2
# cleaned=0
# scan_time=8274
C:\Users\xxx\Documents\Ablage\Lonely Planet PDF\Puerto_Vallarta_Pacific_Mexico2nd_Edition_August_2006\Puerto Vallarta & Pacific Mexico2nd Edition August 2006\Ixtapa-Zihuatanejo_v1_m56577569830490069.pdf JS/Trackware.ReadNotify.A application (unable to clean) 00000000000000000000000000000000 I
C:\Users\xxx\Documents\Ablage\Lonely Planet PDF\Puerto_Vallarta_Pacific_Mexico2nd_Edition_August_2006\Puerto Vallarta & Pacific Mexico2nd Edition August 2006\pv-acapulco_v1_m56577569830490072.pdf JS/Trackware.ReadNotify.A application (unable to clean) 00000000000000000000000000000000 I

Liebe Grüße,
lin.x

Zitat:

C:\Users\xxx\Documents\Ablage\Lonely Planet PDF\Puerto_Vallarta_Pacific_Mexico2nd_Edition_August_2006\Puerto Vallarta & Pacific Mexico2nd Edition August 2006\Ixtapa-Zihuatanejo_v1_m56577569830490069.pdf JS/Trackware.ReadNotify.A application (unable to clean)

Von wo hast du diese PDFs her?

Ich muss ehrlich zugeben, ich weiß es nicht Die liegen da wohl schon länger. Vermutlich hab ich sie von einer Freundin nach ihrer Südamerika-Reise.
Ich weiß dass das nicht ganz korrekt wär, hoffe das ist kein Problem...

Vllt sind es auch Fehlalarme. Wenn du sie nicht mehr brauchst: ohne zu öffnen einfach löschen

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Hab sie gelöscht.

Der normale Modus funktioniert problemlos. Im Startmenü fehlt die rechte Seite. Da hab ich nur "Zuletzt verwendet" und "Computer", alles darunter ist weg. Die Schnellstartleiste war weg, hab ich aber manuell wieder bestückt.

Lg,
lin.x

Probieren wir unhide. Berichte ob das Startmenü danach wieder "vollständiger" aussieht
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Ich hatte unhide.exe schon zu Beginn ausgeführt (siehe oben) und dadurch wieder Zugriff auf meine Daten bekommen.

Ich hab es jetzt nochmal durchlaufen lassen, hier das logfile:

Zitat:

Unhide by Lawrence Abrams (Grinler)
hxxp://www.bleepingcomputer.com/
Copyright 2008-2012 BleepingComputer.com
More Information about Unhide.exe can be found at this link:
hxxp://www.bleepingcomputer.com/forums/topic405109.html

Program started at: 04/05/2012 07:16:04 PM
Windows Version: Windows Vista

Please be patient while your files are made visible again.

Processing the C:\ drive
Finished processing the C:\ drive. 289789 files processed.

Processing the E:\ drive
Finished processing the E:\ drive. 14178 files processed.

Restoring the Start Menu.
* 1 Shortcuts and Desktop items were restored.

Searching for Windows Registry changes made by FakeHDD rogues.
- Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- Checking HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
No registry changes detected.

Program finished at: 04/05/2012 07:19:46 PM
Execution time: 0 hours(s), 3 minute(s), and 42 seconds(s)

Die rechte Seite des Startmenüs ist leider noch immer leer.

LG

Hast du das erste Log von unhide noch?

leider nicht

Dann wirds schwierig bis unmöglich das Startmenü wiederherzustellen. Schau mal selbst nach, vllt ist noch was da:

Deine Verknüpfungen sollten jetzt hier sein: (lass dir vorher alle Dateien anzeigen => http://www.trojaner-board.de/59624-a...-sichtbar.html )

C:\Users\[DEIN_NAME]\AppData\Local\Temp\smtmp


Gibt es da noch einen Ordner smtmp und ist dieser noch "gut gefüllt"?

Den Ordner gibt es noch, aber drin ist nur eine Verknüpfung für ein pdf Programm.

Interessanterweise kann ich über den windows explorer problemlos auf die Systemsteuerung zugreifen, sie ist eben nur aus dem Startmenü verschwunden.

Danke für die Geduld