| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: System Alert und andere ProblemeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
05.07.2007, 16:32
| #1 |
| |  System Alert und andere Probleme Hi Sunny! Danke für Deine Hilfe, hier der log von combofix: "Besitzer" - 2007-07-05 18:14:00 - ComboFix 07-07-04.4 - Service Pack 2 ((((((((((((((((((((((((( Files Created from 2007-06-05 to 2007-07-05 ))))))))))))))))))))))))))))))) 2007-07-05 17:52 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-07-05 17:51 1,118,823 --a------ C:\Programme\ComboFix.exe 2007-07-05 13:57 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Talkback 2007-07-05 13:51 524,288 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT 2007-07-05 13:51 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten 2007-07-05 13:51 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen 2007-07-05 13:51 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen 2007-07-05 13:51 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung 2007-07-05 13:51 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen 2007-07-05 13:51 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung 2007-07-05 13:51 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten 2007-07-05 13:46 883,694 --a------ C:\Programme\SmitfraudFix.exe 2007-07-05 13:46 <DIR> d-------- C:\DOKUME~1\Besitzer\SmitfraudFix 2007-07-01 18:56 <DIR> d-------- C:\DOKUME~1\Besitzer\.jpi_cache 2007-06-17 19:45 <DIR> d-------- C:\DOKUME~1\Besitzer\ANWEND~1\Leadertech (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-05 16:08:37 -------- d-----w C:\DOKUME~1\Besitzer\ANWEND~1\OpenOffice.org2 2007-07-05 15:34:59 -------- d-----w C:\Programme\QuickTime 2007-07-05 15:34:59 -------- d-----w C:\Programme\iTunes 2007-07-05 15:34:55 -------- d-----w C:\Programme\Messenger 2007-07-05 15:34:37 -------- d-----w C:\Programme\ArcorOnline 2007-07-05 15:34:23 -------- d-----w C:\Programme\Opera 2007-07-03 17:04:30 8,704 --s-a-w C:\WINDOWS\system32\xnvaogd.dll 2007-06-28 05:47:08 -------- d-----w C:\Programme\VISTASCAN 2007-06-28 05:30:15 -------- d-----w C:\Programme\Feurio 2007-06-23 09:03:42 -------- d-----w C:\Programme\Filzip 2007-06-17 10:46:32 6,213 ----a-w C:\WINDOWS\mozver.dat 2007-06-09 19:43:21 -------- d-----w C:\Programme\IrfanView 2007-06-03 13:02:50 -------- d-----w C:\Programme\Vista 2007-06-03 12:57:25 12,296 ----a-w C:\WINDOWS\gcurve.dat 2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-05-09 21:04:01 -------- d-----w C:\Programme\CDBurnerXP Pro 3 2007-05-09 19:32:35 -------- d--h--w C:\Programme\InstallShield Installation Information 2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll 2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll 2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-04-16 20:44:20 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll 2007-04-16 20:44:18 208,248 ----a-w C:\WINDOWS\system32\muweb.dll 2005-11-13 18:56:46 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] 2006-10-22 23:08 62080 --a------ C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2F5C8C42-31DD-8F7E-1470-E4F6CD48CCD7}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 21:10] "@"="" [] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2004-12-01 00:19] "SoundMan"="SOUNDMAN.EXE" [2004-12-01 09:54 C:\WINDOWS\SOUNDMAN.EXE] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-10-09 18:02] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-02-23 16:45] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-03-06 20:43] "Arcor Online"="" [] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24] "UIWatcher"="C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe" [2002-08-02 17:02] "Free Download Manager"="C:\Programme\Free Download Manager\fdm.exe" [] [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "<NO NAME>"= "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{1b17f1db-790e-4d42-8e0c-d4d19123ee5b}"="C:\WINDOWS\system32\xnvaogd.dll" [2007-07-03 19:04] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr] avldr.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Besitzer^Startmenü^Programme^Autostart^UMAX VistaAccess.lnk] path=C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\UMAX VistaAccess.lnk backup=C:\WINDOWS\pss\UMAX VistaAccess.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "W32Time"=2 (0x2) "LmHosts"=2 (0x2) "lanmanserver"=2 (0x2) "mnmsrvc"=3 (0x3) "WZCSVC"=2 (0x2) "ERSvc"=2 (0x2) "Browser"=2 (0x2) ************************************************************************** catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-05 18:18:55 Windows 5.1.2600 Service Pack 2 NTFS detected NTDLL code modification: ZwQueryDirectoryFile, ZwQuerySystemInformation scanning hidden processes ... scanning hidden autostart entries ... HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs = C:\WINDOWS\system32:c_1000f.nls scanning hidden files ... C:\WINDOWS\system32:c_1000f.nls 144184 bytes executable hidden from API C:\WINDOWS\siatu1.dll scan completed successfully hidden files: 2 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\WinOkp] "ImagePath"="\"C:\:iNdeDk.exe\"" Completion time: 2007-07-05 18:21:57 C:\ComboFix-quarantined-files.txt ... 2007-07-05 18:21 --- E O F --- Liebe Leute, habe seit gestern dieses blinkende, zwischen Kreuz und Fragezeichen wechselnde Wappenschild in der Taskleiste, das mir einen System Alert vorgaukelt und mich auf die Website von VirusProtectPro :: Home Page leiten will. Nun habe ich im Forum festgestellt, dass ich mir vermutlich trotz Panda Titanium Firewall den Zlob eingefangen habe. Ich wollte HijackThis herunterladen, aber immer, wenn ich auf einen Thread gehe, wo ich den runterladen könnte, schließen sich meine Browserfenster alle, sowohl bei Opera, als auch bei Mozilla und IE. Ich weiss nicht weiter, hoffe jemand von euch schon Grüß von biojoerg Geändert von biojoerg (05.07.2007 um 17:29 Uhr) |
|
05.07.2007, 16:39
| #2 |
| Administrator > Competence Manager  |  System Alert und andere ProblemeHallo biojoerg und  im Trojaner Board!Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen: Datenträgerbereinigung Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung. Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist! (wird normalerweise automatisch erkannt!) ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! Erstellung eines Hijacklog -Hier gibt es das Tool -> HijackThis (nur diese Version benutzen, nicht die BETA-Version!) -Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe' (Klick rechte Maustaste -> umbenennen) -Starte nun mit Doppelklick auf This.exe -Klicke auf den rot markierten Button Do a system scan and save a log file -Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein) MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. Gruß  Sunny
__________________ |
|
05.07.2007, 17:50
| #3 |
| | System Alert und andere Probleme hi,
__________________wenigstens hat HijackThis nun funktioniert. Hier der log: Logfile of HijackThis v1.99.1 Scan saved at 18:39:56, on 05.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE C:\WINDOWS\System32\svchost.exe c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe C:\Programme\OpenOffice.org 2.2\program\soffice.exe C:\Programme\OpenOffice.org 2.2\program\soffice.BIN C:\WINDOWS\explorer.exe C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\Apvxdwin.exe C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe C:\Programme\ArcorOnline\AOButler.exe C:\Programme\Opera\Opera.exe C:\Programme\Filzip\Filzip.exe C:\DOKUME~1\Besitzer\LOKALE~1\Temp\This.exe C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\avciman.exe C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\psimreal.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\blank.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {2F5C8C42-31DD-8F7E-1470-E4F6CD48CCD7} - (no file) O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing) O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128531683515 O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp07.photoprintit.de/microsite/13/defaults/activex/ImageUploader3.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9DE7AAE7-0CBC-4AEF-950E-7104FD5CA9D3}: NameServer = 195.50.140.250 195.50.140.114 O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe O23 - Service: WinOkp - Unknown owner - C:\:iNdeDk.exe viele Grüße von biojoerg  |
|
05.07.2007, 18:11
| #4 |
| Administrator > Competence Manager | System Alert und andere ProblemeSo wie es aussieht ist bei dir ein Rootkit aktiv, das verschlimmert natürlich die Lage.  Poste bitte noch den eScan sobald er fertig ist und das hier: F-Secure Blacklight – Rootkitscanner: * Scanne dein System mit F-Secure Blacklight * Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.) Gruß Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
05.07.2007, 19:40
| #5 |
| | System Alert und andere Probleme Hi, leider klappt Punkt 8 der Anleitung zum eScan nicht: mwavscan.com kann nicht gefunden werden. Hab ich das richtig verstanden, nur die Aktualisierung von eScan laufen lassen, dann beenden und in den abgesicherten Modus wechseln? Klappt leider nicht (s.o.). Hilft Dir ein Log von eScan weiter, das ich einfach mal hab durchlaufen lassen? Grüße, biojoerg (weiterhin )P.S.: F-Secure Blacklight sagt mir: could not acquire necessary privileges (SeDebugPrivilege) und läuft auch nicht ;-( |
|
05.07.2007, 22:13
| #6 |
| | System Alert und andere Probleme Neuester Stand: habe es mit Hilfe von Look2Me-Destroyer geschafft, das SeDebugPrivilege wieder einzurichten und F-Secure BlackLight laufen zu lassen. Leider gab es dort kein Log, er hat aber "two items" bereinigt. Werd mich für heute aufs Ohr hauen |
|
05.07.2007, 22:49
| #7 | |
  | System Alert und andere Probleme Hallo biojoerg, Zitat:
Start - Ausführen: %temp%\mwavscan.com Hat das Update von escan funktioniert? Das log von Blacklight befindet sich im gleichen Ordner wie die fsbl.exe und nennt sich fsbl-200707....log. Poste bitte den Inhalt. Bei rootkit-Befall gibt es imho nur eine Lösung, und die heißt Neuaufsetzen. Gruß |
|
06.07.2007, 16:57
| #8 |
| | System Alert und andere Probleme hi ordell1234, dank Dir für die Tipps. Kann nun einige Ergebnisse vorweisen. Zuerst folgt die Datei eScan_neu.txt. Im Anschluss dann noch die fsbl.log von Blacklight. Hoffe, Du (oder irgendjemand) kann mir weiterhelfen!?! viele Grüße, biojoerg (voller hoffnung)  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.2.6 Sprache: German C:\DOKUME~1\Besitzer\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (updater.exe)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (updater.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (updater.exe)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (updater.exe)! Action taken: Keine Aktion vorgenommen. System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\:iNdeDk.exe infiziert von "Trojan.Win32.Agent.vp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\WindowsXP-KB910437-x86-DEU.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\WindowsXP-KB910437-x86-DEU.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\:iNdeDk.exe infiziert von "Trojan.Win32.Agent.vp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\WindowsXP-KB910437-x86-DEU.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\WindowsXP-KB910437-x86-DEU.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\WINDOWS\11.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\15.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.h". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\164.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\18.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\A.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\C.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\E.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Besitzer\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Programme\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\11.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\15.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.h". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\164.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\18.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\A.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\C.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\E.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\11.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\15.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.h". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\164.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\18.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\A.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\C.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\E.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\Besitzer\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Programme\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\11.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\15.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.h". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\164.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\18.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\A.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\C.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\WINDOWS\E.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\anwendungsdaten\mozilla\firefox\mozilla firefox\updates\0\updater.exe Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\mozilla\firefox\mozilla firefox\updates\0\updater.exe Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\anwendungsdaten\mozilla\firefox\mozilla firefox\updates\0\updater.exe Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\mozilla\firefox\mozilla firefox\updates\0\updater.exe Offending file found: C:\WINDOWS\tasks\at1.job ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\WindowsXP-KB905915-x86-DEU.exe.part nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\AppPatch\18F.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\WindowsXP-KB905915-x86-DEU.exe.part nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\AppPatch\18F.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 66313 Gescannte Dateien: 66122 Gefundene Viren: 23 Gefundene Viren: 24 Anzahl der desinfizierten Dateien: 0 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 263 Anzahl Fehler: 262 Dauer des Scans bisher: 00:35:23 Dauer des Scans bisher: 00:34:49 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 17:43:42,04 Batchende: 17:44:25,43 OK, und nun das log von Blacklight: 07/05/07 22:54:35 [Info]: BlackLight Engine 1.0.61 initialized 07/05/07 22:54:35 [Info]: OS: 5.1 build 2600 (Service Pack 2) 07/05/07 22:54:36 [Note]: 7019 4 07/05/07 22:54:36 [Note]: 7005 0 07/05/07 22:54:42 [Note]: 7006 0 07/05/07 22:54:42 [Note]: 7011 1788 07/05/07 22:54:42 [Note]: 7026 0 07/05/07 22:54:42 [Note]: 7026 0 07/05/07 22:54:52 [Note]: FSRAW library version 1.7.1021 07/05/07 22:55:56 [Info]: Hidden file: c:\WINDOWS\siatu1.dll 07/05/07 22:55:56 [Note]: 10002 1 07/05/07 23:02:05 [Info]: Hidden file: c:\WINDOWS\system32:c_1000f.nls 07/05/07 23:03:25 [Note]: 2000 1012 07/05/07 23:03:25 [Note]: 2000 1012 07/05/07 23:03:25 [Note]: 2000 1012 07/05/07 23:03:25 [Note]: 2000 1012 07/05/07 23:08:38 [Note]: 7007 0 |
|
06.07.2007, 17:22
| #9 | |
| | System Alert und andere Probleme Hmm, mal abwarten, was Sunny sagt, aber nach meiner Einschätzung mußt du neuaufsetzen. Zitat:
Navigiere mal nach C:\windows\Tasks und schaue per Rechtsklick die Eigenschaft von at1.job an. Auf welche Datei wird da verwiesen? Fraglich ist auch, was mit der c:\iNdeDk.exe auf sich hat. Lade die Datei bei virustotal.com hoch und poste den vollstandigen Bericht inkl. HASH und Dateigröße. Gruß |
|
06.07.2007, 18:35
| #10 | ||
| | System Alert und andere ProblemeZitat:
C:\Windows\tasks\At1.job Ausführen:Besitzer\eigene Dateien\Downloads\Look2Me-Destroyer.exe, ausführen als: NT Authority\System Zitat:
 |
|
06.07.2007, 20:28
| #11 |
| | System Alert und andere Probleme Na fein, hat escan mal wieder Käse erzählt. Dennoch bleibt das Rootkitproblem. Suche die C:\:iNdeDk.exe mittels dieser Einstellungen. Wird vermutlich nix bringen. Lade dir gmer (Application), neben dem Reiter Rootkit auf ">>>" klicken, Reiter Processes wählen, in der rechtes Spalte "Files..." klicken und auf C:\ suchen. Datei kopieren, in rootkit.ren umbenennen, auf dem Desktop speichern und bei virustotal.com erneut veruchen. Gruß edit: Hilfreich kann auch sein, bei "Rootkit" auf scan zu gehen. Sollte dir der Prozess als hidden angezeigt werden, dann beende ihn mittels Rechtsklick (delete service). Datei noch nicht löschen, s.o. Geändert von ordell1234 (06.07.2007 um 20:39 Uhr) |
|
09.07.2007, 21:36
| #12 |
| |  System Alert und andere Probleme Liebe Leute, bin bis Ende der Woche auf Dienstreise, werde mich danach wieder melden. Bitte vergesst mich nicht, danke! |
|
20.07.2007, 17:32
| #13 | |||
| | System Alert und andere Probleme Melde mich wieder zurück, nach wie vor Zitat:
Zitat:
Zitat:
---- Files - GMER 1.0.13 ---- ADS C:\:iNdeDk.exe <-- ROOTKIT !!! File C:\WINDOWS\siatu1.dll ADS C:\WINDOWS\system32:c_1000f.nls ---- Services - GMER 1.0.13 ---- Service C:\:iNdeDk.exe [AUTO] WinOkp <-- ROOTKIT !!! ---- EOF - GMER 1.0.13 ---- Nun weiss ich leider nicht, wie ich die Datei kopieren kann. Wenn ich auf Files unter C:\ suche, passiert gar nix, er geht dann zurück zu Processes!?? Viele Grüße |
|
| Themen zu System Alert und andere Probleme |
| adobe, alert, andere probleme, appinit_dlls, ashampoo uninstaller, besitzer, browser, cdburnerxp, combofix, ctfmon.exe, explorer, firewall, free download, helper, hijack, hijackthis, home, installation, log, mozilla, problem, programme, rootkit, schließen, schließen sich, server, software, system, taskleiste, windows, zlob |
Linear-Darstellung
