Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.07.2008, 20:02   #1
foreveryoung
 
Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! - Standard

Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!



Liebe Experten,
am 20.07.2008 habe ich mich für mein Online Banking bei der Sparkasse angemeldet. Beim Wechsel von meiner Statusanzeige zur Umsatzanzeige wurden 10 TANs abgefragt, die ich natürlich nicht angegeben habe.

Ich arbeite auf Windows XP, habe eine Festplatte in zwei Platten C: und F: partioniert. D: und E: sind DVD Player und Brenner, wobei D: schon 1 Jahr defekt ist. Die Leistung ist AMD Athlon 64 Prozessor 3000+, 2.01 GHz, 1,00 GB RAM.
Am Donnerstag - vor dem Online Banking- habe ich das SP3 für XP mit allen Updates installiert. Zudem habe ich AntiVir, AdAware, Spybot und Zonealarm upgedatet und durchlaufen lassen. Es wurde nichts gefunden.

Anmerkung: Mit firefox werden keine 10 TANs abgefragt.

Heute habe ich nod32 installiert, nachdem ich meine Sicherheitsprogramme deinstalliert und Kaspersky nicht installiert bekommen habe. Mir wurde folgendes gemeldet:
"Arbeitsspeicher - Win32/Mebroot Trojaner - Säubern nicht möglich"


Auf meiner Suche in diesem Forum bin ich auf den Thread
h**p://w*w.trojaner-board.de/54836-virus-trojan-mebroot-b-post349749.html#post349749
gestoßen.

Die Anweisungen habe ich bis GMER - Rootkit Detection verfolgt, ich weiß aber nicht wie weit ich die Ergebnisse auf mein Problem übertragen kann.

Kann hier jemand einsteigen und mir Laien weiterhelfen?


Mein HijackThis Log lautet:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42:43, on 22.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Location Finder\LocationFinder.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\+++\Desktop\gmer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w+w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NVidia System Utility] "C:\Programme\NVIDIA Corporation\NVIDIA System Utility\\NVSystemUtility.exe" clear
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Location Finder] "C:\Programme\Microsoft Location Finder\LocationFinder.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5359 bytes



mbr.log nach öffnen der mbr.bat:

Stealth MBR rootkit detector 0.2.4 by Gmer, h**p://w+w.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x17499f00 size 0x1fd !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !



gmer hat folgendes protokolliert:
GMER 1.0.14.14536 - h++p://w*w.gmer.net
Rootkit scan 2008-07-22 20:45:03
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) ZwOpenFile [0xF72E6030]

---- Kernel code sections - GMER 1.0.14 ----

PAGE CLASSPNP.SYS!ClassInitialize + F4 F764342C 4 Bytes [ 56, 27, 72, 86 ]
PAGE CLASSPNP.SYS!ClassInitialize + FF F7643437 4 Bytes [ AC, E1, 71, 86 ]
PAGE CLASSPNP.SYS!ClassInitialize + 10A F7643442 4 Bytes [ 68, 27, 72, 86 ]
PAGE CLASSPNP.SYS!ClassInitialize + 111 F7643449 4 Bytes [ 5C, 27, 72, 86 ]
PAGE CLASSPNP.SYS!ClassInitialize + 118 F7643450 4 Bytes [ 62, 27, 72, 86 ]
PAGE ...
? C:\DOKUME~1\FOREVE~1\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\WINDOWS\Explorer.EXE[1304] ADVAPI32.dll!CryptDestroyKey 77DB9E9C 7 Bytes JMP 00F62B93
.text C:\WINDOWS\Explorer.EXE[1304] ADVAPI32.dll!CryptDecrypt 77DBA109 7 Bytes JMP 00F62B50
.text C:\WINDOWS\Explorer.EXE[1304] ADVAPI32.dll!CryptEncrypt 77DBE340 7 Bytes JMP 00F62B14
.text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00F62AF9
.text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!send 71A14C27 5 Bytes JMP 00F62985
.text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00F62A77
.text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00F629BD
.text C:\WINDOWS\Explorer.EXE[1304] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00F629F5
.text C:\Programme\Internet Explorer\iexplore.exe[2312] ADVAPI32.dll!CryptDestroyKey 77DB9E9C 7 Bytes JMP 03072B93
.text C:\Programme\Internet Explorer\iexplore.exe[2312] ADVAPI32.dll!CryptDecrypt 77DBA109 7 Bytes JMP 03072B50
.text C:\Programme\Internet Explorer\iexplore.exe[2312] ADVAPI32.dll!CryptEncrypt 77DBE340 7 Bytes JMP 03072B14
.text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 444DF301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 44671667 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 446715E8 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 4467162C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 44671574 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 446715AE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 446716A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2312] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 445016B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!InternetCloseHandle 441EDA59 5 Bytes JMP 03073098
.text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!HttpOpenRequestA 441F4341 5 Bytes JMP 03072DD1
.text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!InternetConnectA 441F499A 5 Bytes JMP 03072BAE
.text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!InternetReadFile 441FABB4 5 Bytes JMP 03073043
.text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!HttpSendRequestA 441FCD40 5 Bytes JMP 03072F11
.text C:\Programme\Internet Explorer\iexplore.exe[2312] WININET.dll!HttpSendRequestW 44210825 5 Bytes JMP 030739D8
.text C:\Programme\Internet Explorer\iexplore.exe[2312] CRYPT32.dll!CertGetCertificateChain 77A62F67 5 Bytes JMP 03073578
.text C:\Programme\Internet Explorer\iexplore.exe[2312] CRYPT32.dll!CertVerifyCertificateChainPolicy 77A6B76F 5 Bytes JMP 03073581
.text C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[3268] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 4 Bytes [ C2, 04, 00, 00 ]

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys

Device \Driver\Cdrom \Device\CdRom0 86722756
Device \Driver\Cdrom \Device\CdRom1 86722756
Device \Driver\Disk \Device\Harddisk0\DR0 86722756

---- Threads - GMER 1.0.14 ----

Thread 4:472 867618D0
Thread 4:476 8674EBE0
Thread 4:480 86796DF0
Thread 4:484 8672F110
Thread 4:1596 867618D0
Thread 4:1600 8674EBE0
Thread 4:1604 86796DF0
Thread 4:1608 8672F110

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 60: rootkit-like behavior;

---- EOF - GMER 1.0.14 ----


Wie soll ich jetzt weiterverfahren?

Geändert von foreveryoung (22.07.2008 um 20:37 Uhr)

Alt 22.07.2008, 22:07   #2
foreveryoung
 
Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! - Standard

Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!



Zum oberen Post muss ich ergänzen, dass ich vor dem Durchführen von hijackthis, mbr und gmer, also vor meinem Eröffnungsposting, Ccleaner laufen gelassen habe. Daraufhin hatte nod32 keinen Trojaner mehr gemeldet. Nachdem ich mich beim Online Banking eingeloggt habe, kam allerdings wieder die Aufforderung nach 10 TANs.
Daraufhin startete ich wiederum nod32 und der Trojaner war wieder da.

In der Zwischenzeit, seit meinem Eingangsposting, habe ich
Java deinstalliert und CCleaner laufen lassen.
Beim start von nod32 wurde keine Meldung mehr angezeigt.
Zudem konnte ich mich zum Online Banking anmelden und es gab keine Aufforderung für die TANs.

hijackthis meldet nun:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:50:22, on 22.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\Programme\Microsoft Location Finder\LocationFinder.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NVidia System Utility] "C:\Programme\NVIDIA Corporation\NVIDIA System Utility\\NVSystemUtility.exe" clear
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Location Finder] "C:\Programme\Microsoft Location Finder\LocationFinder.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5140 bytes


Zudem habe ich Blacklight installiert und auch dort wurde nichts gefunden. Im log steht:
07/22/08 22:42:46 [Info]: BlackLight Engine 1.0.70 initialized
07/22/08 22:42:46 [Info]: OS: 5.1 build 2600 (Service Pack 3)
07/22/08 22:42:46 [Note]: 7019 4
07/22/08 22:42:46 [Note]: 7005 0
07/22/08 22:42:53 [Note]: 7006 0
07/22/08 22:42:53 [Note]: 7011 1564
07/22/08 22:42:53 [Note]: 7035 0
07/22/08 22:42:53 [Note]: 7026 0
07/22/08 22:42:53 [Note]: 7026 0
07/22/08 22:42:57 [Note]: FSRAW library version 1.7.1024
07/22/08 22:45:11 [Note]: 2000 1012
07/22/08 22:50:02 [Note]: 7007 0

Und mbr meldet
Stealth MBR rootkit detector 0.2.4 by Gmer, h++p://w*w.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Bin ich den Trojaner los?
Oder hat er sich nur getarnt?

Sollte er weg sein, dann hat bereits der oben genannte Thread geholfen. Aber wie weit muss man mit wie vielen Programmen suchen?
__________________


Alt 22.07.2008, 22:20   #3
undoreal
/// AVZ-Toolkit Guru
 
Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! - Standard

Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!



Hallo foreveryoung und ein großes Dankeschön an diesen hervorragenden Post und die Bereitschaft zur Selbsthilfe! Das sehen wir leider immer weniger hier...

Der Rechner sieht schon ganz gut aus. Ein paar kleinere Test werden Gewissheit schaffen.


Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!



Systemanalyse
  • Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  • Räume mit cCleaner auf. (Punkt 1 & 2)
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Unter File -> Database Update Start drücken.
  • Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  • Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  • Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.
__________________
__________________

Alt 23.07.2008, 00:16   #4
foreveryoung
 
Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! - Standard

Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!



log von Blacklight näheres kommt gleich:

07/22/08 22:42:46 [Info]: BlackLight Engine 1.0.70 initialized
07/22/08 22:42:46 [Info]: OS: 5.1 build 2600 (Service Pack 3)
07/22/08 22:42:46 [Note]: 7019 4
07/22/08 22:42:46 [Note]: 7005 0
07/22/08 22:42:53 [Note]: 7006 0
07/22/08 22:42:53 [Note]: 7011 1564
07/22/08 22:42:53 [Note]: 7035 0
07/22/08 22:42:53 [Note]: 7026 0
07/22/08 22:42:53 [Note]: 7026 0
07/22/08 22:42:57 [Note]: FSRAW library version 1.7.1024
07/22/08 22:45:11 [Note]: 2000 1012
07/22/08 22:50:02 [Note]: 7007 0

Alt 23.07.2008, 00:37   #5
foreveryoung
 
Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! - Standard

Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!



Der AVZ link lautet:
h++p://rapidshare.com/files/131727203/avz_sysinfo.zip.html


Alt 23.07.2008, 09:13   #6
undoreal
/// AVZ-Toolkit Guru
 
Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! - Standard

Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!



Guten Morgen.

Führe bitte folgendes Skript mit AVZ unter File -> Custom Skripts aus.
Code:
ATTFilter
begin
 QuarantineFile('C:\WINDOWS\system32\Drivers\kl1.sys','');
 StopService('ssmdrv');
end.
         
Danach:


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________
--> Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!

Alt 23.07.2008, 16:58   #7
foreveryoung
 
Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! - Standard

Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!



So Arbeit ist vorbei, jetzt geht es weiter.
Anbei das Ergebnis:

Datei ssmdrv.sys empfangen 2008.07.23 17:56:00 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/35 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.24.0 2008.07.23 -
AntiVir 7.8.1.11 2008.07.23 -
Authentium 5.1.0.4 2008.07.23 -
Avast 4.8.1195.0 2008.07.23 -
AVG 8.0.0.130 2008.07.23 -
BitDefender 7.2 2008.07.23 -
CAT-QuickHeal 9.50 2008.07.22 -
ClamAV 0.93.1 2008.07.23 -
DrWeb 4.44.0.09170 2008.07.23 -
eSafe 7.0.17.0 2008.07.23 -
eTrust-Vet 31.6.5976 2008.07.23 -
Ewido 4.0 2008.07.23 -
F-Prot 4.4.4.56 2008.07.22 -
F-Secure 7.60.13501.0 2008.07.23 -
Fortinet 3.14.0.0 2008.07.23 -
GData 2.0.7306.1023 2008.07.23 -
Ikarus T3.1.1.34.0 2008.07.23 -
Kaspersky 7.0.0.125 2008.07.23 -
McAfee 5344 2008.07.22 -
Microsoft 1.3704 2008.07.23 -
NOD32v2 3292 2008.07.23 -
Norman 5.80.02 2008.07.23 -
Panda 9.0.0.4 2008.07.23 -
PCTools 4.4.2.0 2008.07.23 -
Prevx1 V2 2008.07.23 -
Rising 20.54.22.00 2008.07.23 -
Sophos 4.31.0 2008.07.23 -
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.23 -
TheHacker 6.2.96.387 2008.07.23 -
TrendMicro 8.700.0.1004 2008.07.23 -
VBA32 3.12.8.1 2008.07.23 -
VIRobot 2008.7.23.1307 2008.07.23 -
VirusBuster 4.5.11.0 2008.07.23 -
Webwasher-Gateway 6.6.2 2008.07.23 -
weitere Informationen
File size: 21248 bytes
MD5...: 71d609c5dff067906d930bde031c4cfe
SHA1..: adeea881cb4f450a476a8fb3d698e8d936d57a0a
SHA256: 937822679f9d05ac91e9484c19c26dbf6432c7046dd31fa9ea2cb5788cb9c718
SHA512: f78bc1376bb5d8d1f2abda8a7660519c1652f759fef337204e5290faf7a00ef8
6e76bc3ca8cf945b6f42394063719060208e8555bf7fdbebf8b44b1e5f6cba08
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x14146
timedatestamp.....: 0x473340f1 (Thu Nov 08 17:01:37 2007)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x38de 0x3900 6.35 a58e836d26d72f70785364757605778a
.rdata 0x3d80 0x246 0x280 4.25 cdec8024ed638626696ff6e99ecd8628
.data 0x4000 0x64 0x80 1.27 29465b933f7084c36fbc87b0aabd976f
INIT 0x4080 0x982 0xa00 5.41 7948f29f4b6b0f59dfd9ef186bb9b3bc
.rsrc 0x4a80 0x428 0x480 3.15 e40ae2a7f66d9a124da392d72368418e
.reloc 0x4f00 0x39a 0x400 5.23 41943573b7335e118fd2252d0d0d5994

( 2 imports )
> ntoskrnl.exe: PsGetCurrentProcessId, KeInitializeEvent, ExFreePoolWithTag, ZwClose, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, RtlAppendUnicodeStringToString, RtlCopyUnicodeString, ExAllocatePoolWithTag, RtlStringFromGUID, ExUuidCreate, ExDeletePagedLookasideList, ExReleaseResourceLite, ExFreeToPagedLookasideList, ExAcquireResourceExclusiveLite, _alldiv, ObfDereferenceObject, KeWaitForSingleObject, KeReleaseSemaphore, IoFreeWorkItem, IoReleaseRemoveLockAndWaitEx, IoAcquireRemoveLockEx, IoQueueWorkItem, IoAllocateWorkItem, IoReleaseRemoveLockEx, ExfInterlockedInsertTailList, memset, _allshl, _allshr, memcpy, ExAllocateFromPagedLookasideList, IoCreateDevice, PsTerminateSystemThread, ExfInterlockedRemoveHeadList, ExAcquireResourceSharedLite, MmMapLockedPagesSpecifyCache, IoInitializeRemoveLockEx, ObReferenceObjectByHandle, PsCreateSystemThread, KeInitializeSemaphore, ExInitializePagedLookasideList, RtlAppendUnicodeToString, IofCallDriver, IoBuildDeviceIoControlRequest, IoBuildSynchronousFsdRequest, ExAllocatePoolWithTagPriority, ObfReferenceObject, IoFileObjectType, ZwOpenFile, IoGetRelatedDeviceObject, ObQueryNameString, ZwQuerySystemInformation, RtlEqualUnicodeString, ZwWaitForSingleObject, ZwFsControlFile, ZwCreateEvent, ZwQueryVolumeInformationFile, _allmul, ExDeleteResourceLite, ExInitializeResourceLite, KeTickCount, KeBugCheckEx, IoCreateSymbolicLink, IofCompleteRequest, RtlInitUnicodeString, IoDeleteSymbolicLink, _allrem, IoDeleteDevice, DbgPrint, RtlAnsiCharToUnicodeChar
> HAL.dll: ExAcquireFastMutex, ExReleaseFastMutex, KfAcquireSpinLock, KfReleaseSpinLock, KeGetCurrentIrql

( 0 exports )

Alt 23.07.2008, 17:19   #8
KarlKarl
/// Helfer-Team
 
Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! - Standard

Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!



Waidmannsheil! Ein Stück Avira Antivir erlegt

Alt 23.07.2008, 18:06   #9
undoreal
/// AVZ-Toolkit Guru
 
Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! - Standard

Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!



ist aus guten Grund nur beendet worden..

Aber warum ist der Treiber noch drauf und läuft?? Avira sollte eigentlich deinstalliert sein oder foreveryoung? Du nutzt doch nun NOD32 ?!

Hattest du AntiVir ordentlich deinstalliert?
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Geändert von undoreal (23.07.2008 um 18:12 Uhr)

Alt 23.07.2008, 18:18   #10
foreveryoung
 
Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! - Standard

Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!



Eigentlich habe ich alle alten Virenprogramme inkl. AntiVir über Windows-Software-Deinstallieren deinstalliert.
Mit Kaspersky hatte ich Probleme mir die ComputerBild Version aus Heft 16/2008 zu installieren und dann auch wieder zu löschen. Zudem hatte ich hier die Notfall CD auf Linuxbasis getestet, die hat auch Kaspersky installiert aber beim Durchlauf immer nur Code 10 gemeldet hat. Anstelle Code 25 für Viren oder Code 0 für in Ordnung.
Danach habe ich versucht alles aufzuräumen.

Bedeutet der Smiley, dass ich den Trojaner los bin?

Alt 23.07.2008, 18:25   #11
undoreal
/// AVZ-Toolkit Guru
 
Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! - Standard

Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!



Jup, der Rechner ist sauber.

Aber ich würde den Avira Treiber noch löschen.

C:\WINDOWS\system32\DRIVERS\ssmdrv.sys

Und räume mal mit CCleaner auf. Punkt 1&2.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 23.07.2008, 19:16   #12
foreveryoung
 
Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! - Standard

Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!



Hurra und vielen lieben Dank für die kompetente und nachvollziehbare Unterstützung.

Macht es Sinn zu nod32 auch SUPERAntiSpyware Home als Ergänzung von nod32 Lücken zu installieren und regelmäßig über das System laufen zu lassen? Oder ist das keine echte Ergänzung?

Ich frage mich natürlich, wo ich den Trojaner her habe. Da ich regelmäßig im Online Banking bin, kann er noch nicht lange da gewesen sein. Ich habe folgende Vermutungen:
1. Update auf Windows SP3 am Donnerstag
2. Update der Sicherheitssoftware am Donnerstag
3. Ein an die E-Mail angehängter link aus einer paypal Zahlungsanweisung, deren Kaufpreis 60% über den normalen Gebühren liegt. bzw. Alternativ die Seite auf der ich Football Tickets in den USA kaufen wollte.
Lassen sich folgende Links testen?

h++ps://w*w.paypal.com/us/cmd=_prq&id=BzhgKZIrCsbOy4vIJHs08GOULTzGfo1ZJFzOMw

h++p://w*w.sf49ertickets.com/shop/openstore.htm

Und nun noch eine Anekdote zum Schluss:
Den größten Schaden, den der Trojaner angerichtet hat ist, dass ich Sonntag Nacht Football Tickets kaufen wollte und nicht konnte. Der Vorverkauf per Internet ging einen Tag vor dem telefonischen Verkauf los, aber wegen des Trojaners habe ich mich nicht getraut Online zu shoppen. Daraufhin bin ich leer ausgegangen. Das Team, das ich sehen wollte sind die USC Trojans

Alt 23.07.2008, 19:23   #13
undoreal
/// AVZ-Toolkit Guru
 
Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! - Standard

Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!



Zitat:
Das Team, das ich sehen wollte sind die USC Trojans
L L das ist ja die Härte.

SuperAntiSpyware in der FREE Edition ist eine sinnvolle Ergänzung! Der HintergrundWächter ist nicht zu gebrauchen (wie bei allen AntiSpy-/Adware Progs) aber der Scanner ist gut!

Die Links sind auf den ersten Blick sauber.

Zu Punkt2: Welche Sicherheitssoftware und was wurde geupdatet?

Zu Punkt3: e-Mail Anhänge niemals öffnen!
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 23.07.2008, 19:33   #14
foreveryoung
 
Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! - Standard

Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!



Upgedated hatte ich AntiVir, AdAware und Spybot.

Ach ja der Link war nicht an die E-Mail angehängt, sondern zur Zahlungsabwicklung in die E-Mail eingebunden. Da hab ich mich falsch ausgedrückt.

So nun werde ich noch SUPERAntiSpyware herunterladen.

Nochmals Vielen Dank und diesem Fall hoffentlich und ausnahmsweise nicht auf Wiedersehen.

Tschüß

Antwort

Themen zu Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!
amd athlon, antivir, antivirus, avp, avp.exe, bho, classpnp.sys, desktop, encrypt, eset nod32, excel, festplatte, firefox, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, ieframe.dll, internet, internet explorer, internet security, kaspersky, location, mbr rootkit, nicht installiert, nicht möglich, problem, prozessor, rootkit, security, server, software, system, trojaner, updates, win32/mebroot, windows, windows xp, windows xp sp3, xp sp3




Ähnliche Themen: Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!


  1. ESET meldet Bedrohung im Arbeitsspeicher, Variante von Win32/Spy.Zbot.AAO Trojaner
    Plagegeister aller Art und deren Bekämpfung - 06.07.2013 (19)
  2. win32/mebroot Trojaner im Arbeitsspeicher
    Log-Analyse und Auswertung - 21.08.2012 (25)
  3. Win32/Mebroot
    Plagegeister aller Art und deren Bekämpfung - 23.05.2012 (5)
  4. Trojaner Win32/Spy.Zbot.ZR im Arbeitsspeicher
    Log-Analyse und Auswertung - 09.04.2012 (1)
  5. Arbeitsspeicher: win32/spy banker wbu trojaner
    Plagegeister aller Art und deren Bekämpfung - 22.03.2012 (5)
  6. Win32/spy.Banker.WBU Trojaner im Arbeitsspeicher
    Plagegeister aller Art und deren Bekämpfung - 05.03.2012 (8)
  7. Win32/Sirefef.DN Trojaner im Arbeitsspeicher c:\windows\assembly\GAC_32\Desktop.ini
    Plagegeister aller Art und deren Bekämpfung - 04.03.2012 (3)
  8. Win32/Spy.Banker.WBU trojaner im Arbeitsspeicher
    Log-Analyse und Auswertung - 20.01.2012 (8)
  9. win32/mebroot Trojaner
    Log-Analyse und Auswertung - 01.09.2011 (1)
  10. Win32/Mebroot Trojaner ohne Neuinstallation entfernen
    Mülltonne - 07.06.2011 (1)
  11. ich habe einen win32/mebroot trojaner auf der festplatte und auf dem arbeitsspeicher
    Plagegeister aller Art und deren Bekämpfung - 15.08.2010 (45)
  12. Win32/mebroot Trojaner auf Win7
    Antiviren-, Firewall- und andere Schutzprogramme - 07.06.2010 (2)
  13. boot.mebroot bzw. win32/mebroot.mbr Problem - Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (10)
  14. Win32.Mebroot!IK, JS.LuckySploit!IK
    Plagegeister aller Art und deren Bekämpfung - 12.10.2009 (15)
  15. Didr FraudLo - erbitte Hilfe bei Trojaner-Problem :)
    Log-Analyse und Auswertung - 03.09.2009 (3)
  16. McAfee - erbitte Hilfe, Trojaner
    Antiviren-, Firewall- und andere Schutzprogramme - 13.05.2009 (24)
  17. Hilfe Trojaner im Arbeitsspeicher......
    Antiviren-, Firewall- und andere Schutzprogramme - 25.06.2007 (1)

Zum Thema Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! - Liebe Experten, am 20.07.2008 habe ich mich für mein Online Banking bei der Sparkasse angemeldet. Beim Wechsel von meiner Statusanzeige zur Umsatzanzeige wurden 10 TANs abgefragt, die ich natürlich nicht - Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe!...
Archiv
Du betrachtest: Arbeitsspeicher - Win32/Mebroot Trojaner, Erbitte Hilfe! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.