|
Plagegeister aller Art und deren Bekämpfung: Frage zu diesem widerlichen "XP Antivirus 2008"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.08.2008, 03:53 | #1 |
| Frage zu diesem widerlichen "XP Antivirus 2008" Hallo, ihr! Auch ich habe Bekanntschaft mit der bösartigen Software mit dem betrügerischen Namen "XP Antivirus 2008" gemacht, die bereits hier in diesem Board und in englischsprachigen Boards noch viel mehr diskutiert wurde. Zum Äußersten ist es nicht gekommen, will sagen: Wann immer das Popup kommt, das mich zum arglosen Installieren einladen will, konnte ich es bisher entweder sofort wegdrücken, oder aber ich habe es mit dem Task Manager abgeschossen. Installiert habe ich nichts und finde folglich auch diese Software nicht. Da ich häufig den Gesamtspeicherplatz kontrolliere und auch Systemverzeichnisse durchsehe (bin ein vorsichtiger Benutzer und hatte mir in zehn Jahren Internet noch nie etwas gefangen - jedenfalls nie länger als für ein paar Minuten), kann ich auch sagen, dass dort nicht "umgegraben" wurde. Trotzdem muss sich ja irgendetwas Fremdes auf der Platte meines Notebooks befinden, denn sonst würde ja nicht einmal pro Internet Session das Popup kommen und mich locken. Merkwürdig kommt mir eine DAT-Datei mit der ID __c00BCCC8 vor. Die wurde am 20.8 in den Ordner system32 gesetzt, steht da so rum, lässt sich nicht löschen, nicht umbenennen und nicht verschieben. Hat einer eine Idee, ob das vielleicht so eine "Schurkendatei" ist? Wobei ich aber dazu sagen müssen, die Popups kommen erst seit dem 24, nicht schon seit dem 20. . .. Hat denn schon jemand von euch herausgefunden, welche Dateien im Spiel sind und welcher Prozess das Popup aufruft? Ach ja: Mein Betriebssystem ist Windows XP, gesurft hatte ich mit dem Internet Explorer, was ein Fehler war. Noch weniger stolz bin ich auf die Tatsache, dass ich beim Aufräumen versehentlich die mrt.exe (Datei zum Entfernen bösartiger Software) vermüllt habe. Die hätte ich eventuell noch gebrauchen können. Ach, noch was: Man fängt sich dieses Teil offenbar beim Dekomprimieren von aus dem Internet geladenen codec-Videodaten, die defekt sind. Stand so auf einer über news.google.de gefundenen Seite und kann auch gut stimmen, denn genau danach begann der Stress für mich, als sich ein rar-file nämlich nicht entpacken ließ. Herzliche Grüße Daniel, schlaflos im Rheinland |
26.08.2008, 06:46 | #2 |
| Frage zu diesem widerlichen "XP Antivirus 2008" So, ich habe für meinen Fall mal eine Systemherstellung durchgeführt und bin, was meine Systemdateien angeht, jetzt einen guten Monat in der Vergangenheit.
__________________Sieht auch wirklich sauberer aus, auch die Performance ist wieder deutlich besser (ich hatte mir ja eingeredet, die Langsamkeit könne auch andere Gründe habe), meine MRT.exe habe ich so auch wieder bekommen, und ich konnte eben 45 Minuten störungsfrei probesurfen. Das heißt nicht definitiv, dass es ausgestanden ist. Ich halte euch auf dem Laufenden und werde mich hier nun eh häufiger informieren und, wenn ich etwas weiß, Informationen beisteuern. Herzliche Grüße Daniel |
26.08.2008, 06:49 | #3 |
| Frage zu diesem widerlichen "XP Antivirus 2008" Hi,
__________________es gibt viele Möglichkeiten sich etwas einzufangen, DriveByDownload: Auf einer regulären Seite wird von den Hackern ein paar Sicherheitslöcher ausgenutzt und Schadsoftware indiziert, die dann wiederum den User auf verseuchte Seiten umlenkt die den Browser identifizieren und dann versuchen unter Ausnutzung von weiteren Sicherheitslücken unerkannt was unterzuschieben... Wenn das "gut" gemacht ist, merkt der User gar nichts... Bufferüberlauf: Der User wird verleitet irgendetwas installieren/entpacken/ansehen zu wollen, das eine Sicherheitslücke ausnutzt (Bufferüberlauf) und dann eigenen Schadecode ausführt... Das war bei Dir der Fall. Meist wird zuerst ein Agent untergeschoben, der die eigentlichen Komponenten nachlädt... Du solltest daher auf jeden Fall noch einen Fullscan mit MAM machen, welche Antiviren-SW setzt Du ein? Ein HJ-Log zum nachschauen wäre auch nicht schlecht... Noch eine Anmerkung: Selber auf der Platte nachzuschauen ist schon mal gut, allerdings gibt es Rootkits und die wirst Du so nicht finden, auch Antiveren-SW findet da manchmal nichts... Chris Ps.: MAM: Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/.
__________________ |
26.08.2008, 09:00 | #4 |
| Frage zu diesem widerlichen "XP Antivirus 2008" Vielen Dank, Chris, ich werde das heute Abend probieren. Als Virenscanner habe ich G-Data. Hat bisher bei Viren immer angeschlagen, aber hier war er arglos. Was könnt ihr mir für XP empfehlen? |
26.08.2008, 10:24 | #5 |
| Frage zu diesem widerlichen "XP Antivirus 2008" Hi, GData ist eigentlich OK... Ich pers. habe Kaspersky Internetscurity.... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
26.08.2008, 11:05 | #6 |
| Frage zu diesem widerlichen "XP Antivirus 2008" Ich habe mir zwischendurch mal hier (ich sitze hier an meinem viren- und trojanerfreien Büro-PC - jedenfalls behauptet das der von dir empfohlene Scanner, den ich hier mal ausprobiert habe) die Postings in der Hijack-Rubrik angesehen und stelle fest, dass mein Virüslein zurzeit ein echter "Bestseller" zu sein scheint. Na, dann bin ich ja immerhin in guter Gesellschaft. Dank Gambit weiß ich nun auch, welcher Prozess bei mir der Böse ist. Die von ihm genannte exe war mir auch aufgefallen, ist aber gut getarnt (und kommt gleich dreimal vor). Die sollte mein Scan heute Abend auch auf jeden Fall finden, denn ich bin mir nicht sicher, ob die durch die Systemwiederherstellung auch wirklich "weggeschoben" wurden oder ob sie nur im Moment nur untätig in der Gegend herumlungert und mich dann angreift, wenn ich schon gar nicht mehr damit rechne. Grüße vom Rhein Daniel |
26.08.2008, 15:50 | #7 |
| Frage zu diesem widerlichen "XP Antivirus 2008" Hi, Antivirus 2008 geht gerade um, MAM findet es eigentlich immer. Zu beachten ist, ob die Internetverbindung OK ist, im HJ-Log auf die folgende Zeile achten: O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.107 85.255.112.133 Wenn das der Fall ist, wird die Internetverbindung über die Ukraine geroutet.. (das hatte ich hier: http://www.trojaner-board.de/58083-antivirus-xp-2008-manuell-geloescht-und-jetzt.html) chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
26.08.2008, 18:48 | #8 |
| Frage zu diesem widerlichen "XP Antivirus 2008" Ja, und auch bei mir hat sich der MAM-Scan noch sehr gelohnt. Die zwei Trojaner-Downlader waren zwar durch mein nächtliches Systemzurücksetzen um vier Wochen erst einmal außer Kraft gesetzt, aber schau mal, was da noch so herumlungerte. Bei der von mir ohnehin verdächtigten Datendatei hatte ich sogar den richtigen Riecher: 17:26:20 26.08.2008 mbam-log-08-26-2008 (17-26-20).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 61191 Laufzeit: 1 hour(s), 36 minute(s), 21 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 12 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run (Trojan.BHO) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\sp1 (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateien: C:\System Volume Information\_restore{63543A00-7A34-4143-AE18-DE5EFF34ED57}\RP357\A0059214.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{63543A00-7A34-4143-AE18-DE5EFF34ED57}\RP358\A0060497.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniel Roy\Lokale Einstellungen\Temp\_A00F110387.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniel Roy\Lokale Einstellungen\Temp\_A00F121A37.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniel Roy\Lokale Einstellungen\Temp\_A00F85B77.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniel Roy\Lokale Einstellungen\Temp\_A00F9D390.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Daniel Roy\Lokale Einstellungen\Temp\_A00FC4B76.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\__c0041642.dat (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\__c008EE6C.dat (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\__c00A404.dat (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\__c00BCCC8.dat (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\__c00DD9C8.dat (Trojan.Agent) -> Quarantined and deleted successfully. Herzlichen Dank für die Empfehlung! Für den Scan braucht man zwar Geduld, aber man wird belohnt. |
26.08.2008, 19:05 | #9 |
| Frage zu diesem widerlichen "XP Antivirus 2008" Hi, in dem Fall müssen wir leider tiefer im System graben: Combofix: Download ComboFix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) und speichert es auf den Desktop! Alle Fenster schliessen und combofix.exe starten Folge den Instruktionen in dem Fenster Waehrend Combofix lauft NICHT ins Fenster klicken sonst (er-)hängt sich Dein Rechner. Wenn das Tool fertig ist, öffnet sich ein logfile(combofix.txt ) nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Poste es zusammen mit einem neuen Log von HijackThis... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
26.08.2008, 19:13 | #10 |
| Frage zu diesem widerlichen "XP Antivirus 2008" Wieso, was fehlt denn noch, Chris? Ich kann schon seit heute morgen nochmal arbeiten, der Recher murrt nicht. Geändert von danr (26.08.2008 um 19:24 Uhr) |
26.08.2008, 20:10 | #11 |
| Frage zu diesem widerlichen "XP Antivirus 2008" Ist es das, Chris? ComboFix 08-08-25.01 - Daniel Roy 2008-08-26 20:52:44.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.208 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Daniel Roy\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt * Resident AV is active Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\T7K93FQ3\bin.clearspring.com C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\T7K93FQ3\bin.clearspring.com\clearspring.sol C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\T7K93FQ3\interclick.com C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\T7K93FQ3\interclick.com\ud.sol C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com\settings.sol C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol . ((((((((((((((((((((((( Dateien erstellt von 2008-07-26 bis 2008-08-26 )))))))))))))))))))))))))))))) . 2008-08-26 20:20 . 2008-08-26 20:23 <DIR> d-------- C:\WINDOWS\LastGood 2008-08-26 15:47 . 2008-08-26 15:47 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-26 15:47 . 2008-08-26 15:47 <DIR> d-------- C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\Malwarebytes 2008-08-26 15:47 . 2008-08-26 15:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-26 15:47 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-26 15:47 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-25 20:42 . 2008-08-26 19:29 2,206 --a------ C:\WINDOWS\system32\wpa.dbl . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll 2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\dllcache\mswsock.dll 2008-06-20 17:39 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\dllcache\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys 2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\dllcache\bthport.sys 2001-11-23 04:08 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL 2005-03-26 20:08 8 --sh--r C:\WINDOWS\system32\57EA1797A1.sys 2005-03-26 20:08 2,828 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ------- Sigcheck ------- 2005-03-02 20:19 578560 4c90159a69a5fd3eb39c71411f28fcff C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll 2007-03-08 17:48 579584 78785eff8cb90cec1862a4ccfd9a3c3a C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll 2004-08-04 14:00 578560 56785fd5236d7b22cf471a6da9db46d8 C:\WINDOWS\$NtUninstallKB890859$\user32.dll 2005-03-02 20:09 578560 3751d7cf0e0a113d84414992146bce6a C:\WINDOWS\$NtUninstallKB925902$\user32.dll 2007-03-08 17:36 579072 492e166cfd26a50fb9160db536ff7d2b C:\WINDOWS\system32\user32.dll 2007-03-08 17:36 579072 492e166cfd26a50fb9160db536ff7d2b C:\WINDOWS\system32\dllcache\user32.dll 2005-03-02 20:11 2059264 ae8364004bbfd70461d2ef34888d3360 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe 2006-12-19 20:43 2061696 d3767e1a7e6674ce671a8a8254945c29 C:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntkrnlpa.exe 2007-02-28 18:06 2061696 9b9ca27ad315c02b71510238574894b2 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe 2004-08-04 14:00 2017792 f8d35488d41b19a306a454ffc0ed0336 C:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe 2005-03-02 20:06 2017792 a3724446acb9de8d890cfabd146cd0ad C:\WINDOWS\$NtUninstallKB929338$\ntkrnlpa.exe 2006-12-19 20:21 2018304 88aafaf5ef9d304c132ee60c8240a93f C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe 2007-02-28 18:02 2059904 06effe1520c59641fcdb8baa94a8539f C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe 2007-02-28 18:02 2018304 9dc58c5bdedccb8298c8a2d6d4996ec4 C:\WINDOWS\system32\ntkrnlpa.exe 2007-02-28 18:02 2059904 06effe1520c59641fcdb8baa94a8539f C:\WINDOWS\system32\dllcache\ntkrnlpa.exe 2005-03-02 20:11 2181888 eb5538a452e0e99169e2b6cdb62ff9d2 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe 2006-12-19 20:43 2184320 00c476049fecf1d3a05c783015b9b518 C:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntoskrnl.exe 2007-02-28 18:06 2184448 e1de7a10d46959560c3b617227d95c19 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe 2004-08-04 14:00 2150912 c3ec5dd56e3eb15d80af9fcee030cabd C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe 2005-03-02 20:06 2138112 3ddc2bc3d32b2fc505d09b8b8974d5bb C:\WINDOWS\$NtUninstallKB929338$\ntoskrnl.exe 2006-12-19 20:21 2138624 6a5f324a815e66feb3961598ee585eeb C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe 2007-02-28 18:02 2182656 2804b72eb675cd43df7994ae4685b894 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe 2007-02-28 18:02 2138624 495d541a116e7f1b79ed9bd588f54a71 C:\WINDOWS\system32\ntoskrnl.exe 2007-02-28 18:02 2182656 2804b72eb675cd43df7994ae4685b894 C:\WINDOWS\system32\dllcache\ntoskrnl.exe 2007-06-13 15:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\explorer.exe 2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2004-08-04 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe 2007-06-13 15:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\system32\dllcache\explorer.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "Power2GoExpress"="C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" [2005-03-23 14:34 1630303] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-11 21:00 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-03-26 21:52 98304] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-07-05 10:02 98304] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-07-05 10:02 495616] "AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 14:42 70952] "RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 01:07 32768] "MMTray"="C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe" [2003-10-01 11:56 114688] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-26 21:05 344064] "RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2005-03-26 21:52 26112] "HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1177619591\ee\AOLSoftware.exe" [2006-11-17 15:16 50736] "AGRSMMSG"="AGRSMMSG.exe" [2005-07-05 10:06 88361 C:\WINDOWS\AGRSMMSG.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-11 21:00 68856] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ AOL 9.0 Tray-Symbol.lnk - C:\Programme\AOL 9.0\aoltray.exe [2005-07-08 05:43:28 156784] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.clmp3enc"= C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\AOL 9.0\\waol.exe"= "C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"= "C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLAcsd.exe"= "C:\\Programme\\Gemeinsame Dateien\\aol\\1177619591\\ee\\aolsoftware.exe"= "C:\\Programme\\Real\\RealPlayer\\realplay.exe"= R2 AVKService;AVK Service;C:\Programme\Virenschutz\AVKService.exe [2003-10-27 13:13] R2 AVKWCtl;G DATA Virenschutz Wächter;C:\Programme\Virenschutz\AVKWCtl.exe [2004-03-02 14:13] R3 GDInterceptor;GDInterceptor;C:\WINDOWS\system32\interceptor.sys [2005-09-24 14:59] S3 UMSSSTOR;C-Media Storage;C:\WINDOWS\system32\DRIVERS\UMSS.SYS [] *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners 2008-08-24 C:\WINDOWS\Tasks\At64.job - C:\WINDOWS\system32\D80kdB06.exe [] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-mmtask - c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe HKLM-Run-Cmaudio - cmicnfg.cpl . ------- Zusätzlicher Scan ------- . R0 -: HKCU-Main,Start Page = hxxp://www.geocities.com/ R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://www.gericom.com/ . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-26 20:58:07 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-08-26 21:00:30 ComboFix-quarantined-files.txt 2008-08-26 19:00:21 Pre-Run: 10 Verzeichnis(se), 53,611,200,512 Bytes frei Post-Run: 12 Verzeichnis(se), 53,711,953,920 Bytes frei 156 --- E O F --- 2008-07-12 04:06:05 |
27.08.2008, 04:21 | #12 |
| Frage zu diesem widerlichen "XP Antivirus 2008" Ach ja, der HJ-Log fehlt noch: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 05:18:38, on 27.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Virenschutz\AVKService.exe C:\Programme\Virenschutz\AVKWCtl.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Gemeinsame Dateien\AOL\1177619591\ee\AOLSoftware.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\AOL 9.0\aoltray.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.geocities.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gericom.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1177619591\ee\AOLSoftware.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Power2GoExpress] "C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" /Startup O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{B0F439AA-8849-4490-B4E6-EAAC9E667BE2}: NameServer = 213.191.74.11 213.191.92.82 O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\Virenschutz\AVKService.exe O23 - Service: G DATA Virenschutz Wächter (AVKWCtl) - Unknown owner - C:\Programme\Virenschutz\AVKWCtl.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe -- End of file - 4869 bytes Ukraine njet, oder? |
27.08.2008, 05:51 | #13 |
| Frage zu diesem widerlichen "XP Antivirus 2008" Und auch noch den akuellen MAM-Scan-Bericht: Malwarebytes' Anti-Malware 1.25 Datenbank Version: 1087 Windows 5.1.2600 Service Pack 2 06:36:37 27.08.2008 mbam-log-08-27-2008 (06-36-37).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 60498 Laufzeit: 1 hour(s), 6 minute(s), 40 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
27.08.2008, 06:31 | #14 | |
| Frage zu diesem widerlichen "XP Antivirus 2008" Hi, zwei Sachen, da ist noch eine ZLob-Variante aktiv: 2008-08-24 C:\WINDOWS\Tasks\At64.job - C:\WINDOWS\system32\D80kdB06.exe [] Damit wird die Neuinfektion "zeitgesteuert", immer wenn der Job läuft... (den Rest kannst Du Dir denken... (... Dann hoffen wir dass wir das "Biest" rechtzeitig genug entdeckt haben, bevor das Spiel wieder von vorne beginnt.... HJ sieht sonst OK aus... Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste das Ergebniss... Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to delete: C:\WINDOWS\system32\D80kdB06.exe Folders to delete: C:\WINDOWS\Tasks\At64.job 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
27.08.2008, 10:09 | #15 | |
| Frage zu diesem widerlichen "XP Antivirus 2008"Zitat:
Muss bis heute Abend warten. Hoffentlich ist die "started task" nicht für heute angesetzt. Aber na ja - die Produkte dagegen habe ich ja jetzt. |
Themen zu Frage zu diesem widerlichen "XP Antivirus 2008" |
antivirus, antivirus 2008, dateien, defekt, entfernen, explorer, fehler, frage, internet, internet explorer, lan, löschen, namen, ordner, popup, popups, prozess, seite, software, speicherplatz, stimme, system32, windows, windows xp, xp antivirus 2008 |