Brief von Telekom / "Sicherheitswarnung zu Ihrem Internetzugang" / "TR/Crypt.ULPM.Gen"

Ostas · 22.10.2012, 16:33

Hier ist der neuste Combofix log:
Combofix Logfile:

Code:

ATTFilter

ComboFix 12-10-21.02 - Sigrid 22.10.2012  15:27:53.4.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.511.211 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Sigrid\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_xcpip
-------\Service_xpsec
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-09-22 bis 2012-10-22  ))))))))))))))))))))))))))))))
.
.
2012-10-17 03:31 . 2012-10-17 03:31	--------	d-----w-	C:\_OTL
2012-10-16 23:00 . 2012-10-16 23:00	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-30 20:28 . 2006-02-28 12:00	672768	----a-w-	c:\windows\system32\wininet.dll
2012-08-30 20:28 . 2006-02-28 12:00	61952	----a-w-	c:\windows\system32\tdc.ocx
2012-08-30 20:28 . 2006-02-28 12:00	81920	----a-w-	c:\windows\system32\ieencode.dll
2012-08-30 20:26 . 2006-02-28 12:00	371200	----a-w-	c:\windows\system32\html.iec
2012-08-24 13:53 . 2006-02-28 12:00	177664	----a-w-	c:\windows\system32\wintrust.dll
2012-08-23 06:26 . 2006-02-28 12:00	2195200	----a-w-	c:\windows\system32\ntoskrnl.exe
2012-08-23 06:26 . 2004-08-04 00:50	2071936	----a-w-	c:\windows\system32\ntkrnlpa.exe
2012-04-06 14:13 . 2012-03-24 20:44	97208	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2007-02-06 344064]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-06-24 126976]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-06-24 561152]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-30 281768]
"TVT Scheduler Proxy"="c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe" [2008-03-04 487424]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [12.12.2010 14:12 136360]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\programme\Lavasoft\Ad-Aware\KernExplorer.sys [?]
S3 PCX504;Cisco Systems Wireless LAN Adapter Driver;c:\windows\system32\drivers\PCX504.sys [04.05.2004 12:35 119296]
.
Inhalt des "geplante Tasks" Ordners
.
2012-10-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
.
------- Zusätzlicher Suchlauf -------
.
FF - ProfilePath - c:\dokumente und einstellungen\Sigrid\Anwendungsdaten\Mozilla\Firefox\Profiles\arxt7v7m.default\
FF - prefs.js: network.proxy.type - 2
FF - ExtSQL: !HIDDEN! 2009-09-03 09:46; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: network.http.max-persistent-connections-per-server - 3
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-10-22 15:44
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(916)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Analog Devices\SoundMAX\SMAgent.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
c:\programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
c:\programme\Lenovo\System Update\SUService.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-10-22  15:55:09 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2012-10-22 13:54
ComboFix2.txt  2012-10-16 22:22
ComboFix3.txt  2012-10-16 14:03
ComboFix4.txt  2012-10-07 17:05
.
Vor Suchlauf: 7 Verzeichnis(se), 31.307.223.040 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 31.448.305.664 Bytes frei
.
- - End Of File - - 959C0F20899D1E56210BA5D901C185DE

--- --- ---

Auf dem Laptop sind eigentlich nur Word-Dateien sowie Bilder gespeichert, da er eigentlich primär zum Arbeiten benutzt wurde...
Das sollte sich doch einfach kopieren lassen? Oder kann sich da auch eine Infektion mit einschleichen?

schrauber · 22.10.2012, 17:49

Nur Fileinfector-Malware, also die kannst Du beruhigt sichern. vor dem Zurückspielen einmal scannen lassen und gut is

.

Würd mich mal intressieren ob AswMbr jetzt läuft und den Mbr immernoch anmeckert

Ostas · 22.10.2012, 22:17

Kein Problem, ich werde das morgen Abend für dich checken und dann das Log hier posten

Ach nochwas: Ich hab hier auf meinem anderen Laptop (den von dem anderen Thread) seit längerem das Problem, dass "incredibar" als Startseite automatisch aufgerufen wird...
Seit heute Abend werde ich teilweise willkürlich beim öffnen eines neuen Fensters nach ein paar Sekunden auf die Incredibar-Startseite gelenkt.. Habe gerade erst hier gelesen dass es sich hierbei auch um Adware / Trojaner handelt?

Inwiefern ist mein Laptop infiziert? Kann auch dieses Gerät der Auslöser für die Hacking-Angriffe und Spammail-Versand sein?

schrauber · 23.10.2012, 07:22

Nee, aber infiziert ist er. Poste mal in dem andern Thread damit der in meinen Abos wieder hoch kommt. Poste bitte frische OTL logfiles.

Ostas · 24.10.2012, 18:31

und hier ist der neuste log von aswmbr:

Code:

ATTFilter

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-10-24 19:24:58
-----------------------------
19:24:58.518    OS Version: Windows 5.1.2600 Service Pack 3
19:24:58.518    Number of processors: 1 586 0x905
19:24:58.518    ComputerName: OGV  UserName: 
19:25:02.143    Initialize success
19:25:20.590    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
19:25:20.590    Disk 0 Vendor: FUJITSU_MHT2040AT 0022 Size: 38154MB BusType: 3
19:25:20.670    Disk 0 MBR read successfully
19:25:20.670    Disk 0 MBR scan
19:25:20.680    Disk 0 Windows XP default MBR code
19:25:20.680    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        38153 MB offset 63
19:25:20.730    Disk 0 scanning sectors +78138989
19:25:20.800    Disk 0 malicious Win32:MBRoot code @ sector 78138992 !
19:25:20.840    Disk 0 PE file @ sector 78139014 !
19:25:20.980    Disk 0 scanning C:\WINDOWS\system32\drivers
19:26:16.881    Service scanning
19:26:51.150    Modules scanning
19:27:13.302    Disk 0 trace - called modules:
19:27:13.322    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys intelide.sys 
19:27:13.322    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8233eab8]
19:27:13.322    3 CLASSPNP.SYS[f8575fd7] -> nt!IofCallDriver -> \Device\00000076[0x823722a0]
19:27:13.322    5 ACPI.sys[f84eb620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x82341940]
19:27:13.322    Scan finished successfully
19:27:50.215    Disk 0 MBR has been saved successfully to "E:\MBR.dat"
19:27:50.455    The log file has been saved successfully to "E:\aswMBRlogneu.txt"

Und der fix-log:

Code:

ATTFilter

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-10-24 19:24:58
-----------------------------
19:24:58.518    OS Version: Windows 5.1.2600 Service Pack 3
19:24:58.518    Number of processors: 1 586 0x905
19:24:58.518    ComputerName: OGV  UserName: 
19:25:02.143    Initialize success
19:25:20.590    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
19:25:20.590    Disk 0 Vendor: FUJITSU_MHT2040AT 0022 Size: 38154MB BusType: 3
19:25:20.670    Disk 0 MBR read successfully
19:25:20.670    Disk 0 MBR scan
19:25:20.680    Disk 0 Windows XP default MBR code
19:25:20.680    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        38153 MB offset 63
19:25:20.730    Disk 0 scanning sectors +78138989
19:25:20.800    Disk 0 malicious Win32:MBRoot code @ sector 78138992 !
19:25:20.840    Disk 0 PE file @ sector 78139014 !
19:25:20.980    Disk 0 scanning C:\WINDOWS\system32\drivers
19:26:16.881    Service scanning
19:26:51.150    Modules scanning
19:27:13.302    Disk 0 trace - called modules:
19:27:13.322    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys intelide.sys 
19:27:13.322    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8233eab8]
19:27:13.322    3 CLASSPNP.SYS[f8575fd7] -> nt!IofCallDriver -> \Device\00000076[0x823722a0]
19:27:13.322    5 ACPI.sys[f84eb620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x82341940]
19:27:13.322    Scan finished successfully
19:27:50.215    Disk 0 MBR has been saved successfully to "E:\MBR.dat"
19:27:50.455    The log file has been saved successfully to "E:\aswMBRlogneu.txt"
19:27:55.422    Disk 0 MBR read successfully
19:27:55.432    Disk 0 scanning sectors +78138989
19:27:55.503    Disk 0 malicious Win32:MBRoot code @ sector 78138992 !
19:27:55.513    Disk 0 PE file @ sector 78139014 !
19:27:55.513    Disk 0 sector 78138992 cleaned
19:27:55.513    Disk 0 sector 78139014 cleaned
19:27:55.513    Verifying disinfection
19:28:05.627    Infection fixed successfully - please reboot ASAP
19:28:16.292    Disk 0 MBR has been saved successfully to "E:\MBR.dat"
19:28:16.393    The log file has been saved successfully to "E:\aswMBRcleanlog.txt"

schrauber · 25.10.2012, 07:04

Das sieht viel besser aus

Aber der hier wird formatiert oder?

Ostas · 25.10.2012, 15:41

Herzlichen Dank hier schonmal für die Hilfe soweit.
Ja, den Laptop hier mache ich platt

schrauber · 25.10.2012, 15:49

Schade

ich doktor ja gern an sowas rum bis es wieder funzt

. Aber so bist du in wenigen Stunden wieder mit nem cleanen System unterwegs.

22.10.2012, 17:49	#32
schrauber /// the machine /// TB-Ausbilder	Brief von Telekom / "Sicherheitswarnung zu Ihrem Internetzugang" / "TR/Crypt.ULPM.Gen" Nur Fileinfector-Malware, also die kannst Du beruhigt sichern. vor dem Zurückspielen einmal scannen lassen und gut is . Würd mich mal intressieren ob AswMbr jetzt läuft und den Mbr immernoch anmeckert __________________ __________________

25.10.2012, 07:04	#36
schrauber /// the machine /// TB-Ausbilder	Brief von Telekom / "Sicherheitswarnung zu Ihrem Internetzugang" / "TR/Crypt.ULPM.Gen" Das sieht viel besser aus Aber der hier wird formatiert oder? __________________ --> Brief von Telekom / "Sicherheitswarnung zu Ihrem Internetzugang" / "TR/Crypt.ULPM.Gen"

Brief von Telekom / "Sicherheitswarnung zu Ihrem Internetzugang" / "TR/Crypt.ULPM.Gen"

Log-Analyse und Auswertung: Brief von Telekom / "Sicherheitswarnung zu Ihrem Internetzugang" / "TR/Crypt.ULPM.Gen"