| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: cia.cdc - Malware ??Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
22.04.2008, 18:54
| #1 |
 |  cia.cdc - Malware ?? Guten Abend ! Nachdem mein Mann offenbar von gestern auf heute sein Notebook teil-gecrasht hat, suchen wir nach der Ursache. Symptom: Works-Dateien (ältere wie neu erstellte) lassen sich nicht mehr öffnen (dadurch fiel es auf), sind angeblich beschädigt. Öffnet man sie per Editor oder Notepad, ist nicht mehr der komplette Inhalt vorhanden, dafür aber jede Menge "Hyroglyphen". Ätzend - denn gestern abend hatte mein Mann einige wichtige Geschäftsbriefe geschrieben, die sich so heute nicht öffnen / ausdrucken ließen. Die Dateien haben wohl (alle) einen Hau abbekommen, jedenfaölls nutzt es nichts, sie auf einem anderen PC zu öffnen - selbe Symptomatik. Erster Schritt war nun einfach ein Check mit Antivir. Antivir "findet" c:/system.sav/util/cia.cdc und fragt, was er damit machen soll. Ich habe gegooglet bin aber aus den wenigen (englischen) Texten, die ich gefunden habe, nicht wirklich schlau geworden. Kann uns jemand weiterhelfen ? Danke und VG, Sammmm |
|
22.04.2008, 19:06
| #2 |
| > MalwareDB   | cia.cdc - Malware ?? Hmm, sieht ernst aus.
__________________Versuchen wir Combofix - Download ComboFix von hier oder hier auf Deinen Desktop. - Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen!) - Mache einen Doppelklick auf combofix.exe - Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht. |
|
22.04.2008, 19:23
| #3 |
| | cia.cdc - Malware ?? OK, danke, mache ich.
__________________Antivir fand noch c:/system.sav/util/cia.us Prüfung läuft, melde mich später ! Danke ! |
|
22.04.2008, 20:49
| #4 |
| | cia.cdc - Malware ?? ComboFix 08-04-20.5 - xxx 2008-04-22 20:26:30.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.135 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\Downloaded Program Files\setup.inf E:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2008-03-22 bis 2008-04-22 )))))))))))))))))))))))))))))) . Keine neuen Dateien erstellt in diesem Zeitraum . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-22 18:33 --------- d-----w C:\Programme\Steam 2008-04-22 06:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-04-19 18:55 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-04-19 18:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec 2008-04-19 18:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SBSI 2008-04-19 18:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst 2008-04-19 18:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield 2008-04-19 18:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Infineon 2008-04-19 18:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpqLog 2008-04-19 18:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-04-13 10:13 --------- d-----w C:\Programme\StarMoney 5.0 APO-Edition Vollversion 2008-04-12 18:01 --------- d-----w C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Template 2008-04-12 18:01 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\SampleView 2008-04-12 18:01 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PlayFirst 2008-04-12 18:01 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Jasc Software Inc 2008-04-12 18:01 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Infineon 2008-04-12 18:01 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ChessBase 2008-04-12 18:01 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\AtomPark 2008-04-12 18:01 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ATI 2008-04-12 18:01 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\AdobeUM 2008-03-22 19:39 --------- d-----w C:\Programme\Access Viewer 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-20 08:03 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys 2008-03-01 19:19 --------- d-----w C:\Programme\Sonic 2008-03-01 19:19 --------- d-----w C:\Programme\ProtectTools 2008-03-01 19:19 --------- d-----w C:\Programme\Programmverknüpfungen 2008-03-01 19:18 --------- d-----w C:\Programme\Outlook Express Datensicherung 2008-03-01 19:18 --------- d-----w C:\Programme\Online-Dienste 2008-03-01 19:18 --------- d-----w C:\Programme\MSXML 4.0 2008-03-01 19:18 --------- d-----w C:\Programme\Microsoft Works 2008-03-01 19:18 --------- d-----w C:\Programme\microsoft frontpage 2008-03-01 19:18 --------- d-----w C:\Programme\Lexmark 2008-03-01 19:17 --------- d-----w C:\Programme\Java 2008-03-01 19:16 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-03-01 19:16 --------- d-----w C:\Programme\Jasc Software Inc 2008-03-01 19:16 --------- d-----w C:\Programme\InterVideo 2008-03-01 19:16 --------- d-----w C:\Programme\HPQ 2008-03-01 19:16 --------- d-----w C:\Programme\Hp 2008-03-01 19:16 --------- d-----w C:\Programme\Hewlett-Packard 2008-03-01 19:10 --------- d-----w C:\Programme\DTP 2008-03-01 19:10 --------- d-----w C:\Programme\DIFX 2008-03-01 19:10 --------- d-----w C:\Programme\Dell Computer 2008-03-01 19:10 --------- d-----w C:\Programme\Dell 720 2008-03-01 19:10 --------- d-----w C:\Programme\CONEXANT 2008-03-01 19:10 --------- d-----w C:\Programme\ChessBase 2008-03-01 19:10 --------- d-----w C:\Programme\CCleaner 2008-03-01 19:10 --------- d-----w C:\Programme\AuthenTec 2008-03-01 19:10 --------- d-----w C:\Programme\AtomPark 2008-03-01 19:09 --------- d-----w C:\Programme\ATI Technologies 2008-03-01 19:09 --------- d-----w C:\Programme\Analog Devices 2008-03-01 16:24 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll 2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll 2008-03-01 12:54 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll 2008-03-01 12:54 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll 2008-03-01 12:54 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll 2008-03-01 12:54 233,472 ------w C:\WINDOWS\system32\dllcache\webcheck.dll 2008-03-01 12:54 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll 2008-03-01 12:54 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll 2008-03-01 12:54 102,912 ------w C:\WINDOWS\system32\dllcache\occache.dll 2008-03-01 12:54 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll 2008-02-29 08:55 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe 2008-02-29 08:54 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 06:50 282,624 ------w C:\WINDOWS\system32\dllcache\gdi32.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-20 05:33 45,568 ------w C:\WINDOWS\system32\dllcache\dnsrslvr.dll 2008-02-20 05:33 148,992 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-02-15 05:44 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll 2007-01-06 04:51 56 --sha-w C:\WINDOWS\SMINST\hpboot.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 10:00 15360] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-19 23:42 68856] "Steam"="C:\Programme\Steam\Steam.exe" [2008-03-29 10:44 1271032] "WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56 204288] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 11:11 925696] "SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2005-05-06 15:06 716800] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112] "PTHOSTTR"="C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.exe" [2006-02-14 11:56 122880] "DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-08-31 05:20 122940] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-31 18:01 761946] "hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-03-28 14:13 454656] "CognizanceTS"="C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll" [2003-12-22 20:12 17920] "QlbCtrl"="C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-23 11:38 131072] "Cpqset"="C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe" [2006-04-21 09:30 40960] "Recguard"="C:\WINDOWS\Sminst\Recguard.exe" [2005-12-20 16:51 1187840] "Reminder"="C:\WINDOWS\Creator\Remind_XP.exe" [2006-03-09 17:38 806912] "Scheduler"="C:\WINDOWS\SMINST\Scheduler.exe" [2006-02-15 17:43 892928] "WatchDog"="C:\Programme\InterVideo\DVD Check\DVDCheck.exe" [2006-03-31 14:58 184320] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-22 18:18 262401] "HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152] "PVR Agent"="C:\Programme\V-Stream\PVR Plus\TVR\Scheduled.exe" [2003-11-24 12:14 729088] "emMON"="emMON.exe" [2006-05-30 21:24 61440 C:\WINDOWS\emMON.exe] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 11:45 63712] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 10:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN] IfxWlxEN.dll 2006-03-03 17:08 434176 C:\WINDOWS\system32\IfxWlxEN.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard] C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll 2005-07-25 20:41 40960 C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\AtomPark\\Atomic Email Hunter\\AtomicEmailHunter.exe"= R1 PersonalSecureDrive;PersonalSecureDrive;C:\WINDOWS\system32\drivers\psd.sys [2005-11-29 18:56] R2 ASChannel;Lokaler Verbindungskanal;C:\WINDOWS\System32\svchost.exe [2004-08-04 10:00] R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2005-10-21 13:19] S3 USB28xxBGA;USB 2820 Device;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2006-09-12 21:21] S3 USB28xxOEM;USB 28xx OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2006-08-21 23:38] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Cognizance REG_MULTI_SZ ASChannel . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-22 20:31:48 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... C:\WINDOWS\explorer.exe [1240] 0x84455C88 Scanne versteckte Autostart Eintr„ge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cpqset = C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe??@?????????????,?@??????X??????R?@?????,?@ Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\HPQ\IAM\Bin\asghost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\IFXSPMGT.exe C:\WINDOWS\system32\IFXTCS.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe C:\Programme\Windows Media Player\wmpnetwk.exe C:\Programme\ProtectTools\Embedded Security Software\PSDrt.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-04-22 21:20:05 - machine was rebooted ComboFix-quarantined-files.txt 2008-04-22 19:19:33 11 Verzeichnis(se), 444,542,976 Bytes frei 16 Verzeichnis(se), 1,371,009,024 Bytes frei 185 --- E O F --- 2008-04-11 10:21:25 |
|
22.04.2008, 21:18
| #5 |
| > MalwareDB | cia.cdc - Malware ?? Es sind aber nur die Works Dateien betroffen? F-Secure Blacklight - Rootkitscanner: * Scanne dein System mit F-Secure Blacklight * Benennen die Datei um (Beispiel: test.com) * Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.) GMER - Rootkit Detection * Lade GMER von hier * entpacke es auf den Dektop * Dopperlklicke die gmer.exe * Der Reiter Rootkit oben ist schon angewählt * Entferne die Häckchen rechts bei -System, -Section, -IAT/EAT, -Module, -Processes, -Threads, -Libraries  * Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern * nach Beendigung des Scan, drücke "Copy" * nun kannst Du das Ergebnis hier posten * Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden. SDFIX ausführen Download SDFix und speichere es auf dem Desktop. Mache einen Doppelklick auf die SDFix.exe und wähle "Install" um es in den Ordner X:\SDFix zu entpacken (X = Dein Windowslaufwerk)
|
|
23.04.2008, 00:07
| #6 |
| | cia.cdc - Malware ?? Zumindest sind uns bislang nur Works-Dateien aufgefallen. Ich hatte auch nicht ernsthaft an einen Virus gedacht, eher an einen Works-Crash. Bis dann Antivir diesen CIA meldete. F-Secure Blacklight - Rootkitscanner: Meldet, daß er nichts findet. Das einzige was ich kopieren kann, ist die Textdatei, aber ich denke, die meinst Du nicht ?! 04/22/08 23:37:53 [Info]: BlackLight Engine 1.0.70 initialized 04/22/08 23:37:53 [Info]: OS: 5.1 build 2600 (Service Pack 2) 04/22/08 23:37:53 [Note]: 7019 4 04/22/08 23:37:53 [Note]: 7005 0 04/22/08 23:37:57 [Note]: 7006 0 04/22/08 23:37:57 [Note]: 7011 1336 04/22/08 23:37:57 [Note]: 7035 0 04/22/08 23:37:57 [Note]: 7026 0 04/22/08 23:37:57 [Note]: 7026 0 04/22/08 23:37:58 [Note]: FSRAW library version 1.7.1024 04/22/08 23:43:47 [Note]: 2000 1012 04/23/08 00:27:11 [Note]: 7007 0 Jetzt den nächsten Schritt - melde mich wieder ! Danke ! Sammmm |
Linear-Darstellung
