| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Mehrere Trojaner beseitigt, aber ist das System nun wirklich sauber?!?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
06.09.2008, 16:01
| #1 |
| |  Mehrere Trojaner beseitigt, aber ist das System nun wirklich sauber?!? Hallo Zusammen! Gestern Abend ist auch bei mir das Probelm mit dem weißen Hintergurnd mit der Aufschrift: "Warning - Spyware detected on your computer!" aufgrtreten und ein Fenster hat mich dazu aufgefordert eine Antivirensoftware zu installieren (was ich getrost sein hab lassen). Habe dann erstmal Antvir laufen lassen, der auch mehrere Trojaner (TR/Dldr.Small.acxh, TR/Spy.Frauder.dk, TR/FakeAV.AM) gefunden und entfernt hat. Allerdings hat sich dadurch mein Problem mit dem Hintergurnd und dem Fenster zur Installation einer Antivirensoftware nicht gelöst. Habe dann hier im Forum mehrere Beträge, die das gleiche Problem geschildert haben gefunden und bin dann wie dort angegeben vorgegangen: 1. Ich habe Smitfraudfix im abgesicherten Modus ausgeführt (Option 2) 2. Danach habe ich MalwareBytes Anti-Malware laufen lassen. Es wurde einige Trojaner gefunden, die ich fürs erste mal in die Quarantäne gesetzt habe. Hier das Logfile dazu: Code:
ATTFilter Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1118
Windows 5.1.2600 Service Pack 2
06.09.2008 02:34:27
mbam-log-2008-09-06 (02-34-27).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 54945
Laufzeit: 3 minute(s), 43 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhcgqcj0epbg (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\blphclqcj0epbg.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\phclqcj0epbg.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
3. Habe SUPERAntiSpyware laufen lassen Gefunden Probleme hab ich in Quarantäne gesetzt. Auch hier das log: Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 09/06/2008 at 03:13 AM
Application Version : 4.21.1004
Core Rules Database Version : 3558
Trace Rules Database Version: 1546
Scan type : Quick Scan
Total Scan Time : 00:11:25
Memory items scanned : 417
Memory threats detected : 0
Registry items scanned : 416
Registry threats detected : 0
File items scanned : 5299
File threats detected : 32
Adware.Tracking Cookie
C:\Dokumente und Einstellungen\***\Cookies\benny@mediaplex[1].txt
C:\Dokumente und Einstellungen***\Cookies\benny@atdmt[2].txt
C:\Dokumente und Einstellungen\***\Cookies\benny@findproperty[1].txt
C:\Dokumente und Einstellungen\***\Cookies\benny@ads.aol.co[1].txt
C:\Dokumente und Einstellungen\***\Cookies\benny@banner.bingo.blackpoolclub.co[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@cgi-bin[2].txt
C:\Dokumente und Einstellungen\***\Cookies\***@partypoker[1].txt
C:\Dokumente und Einstellungen\***\Cookies\***@cgi[1].txt
C:\Dokumente und Einstellungen\***\Cookies\benny@media.adrevolver[1].txt
C:\Dokumente und Einstellungen\***\Cookies\benny@doubleclick[1].txt
C:\Dokumente und Einstellungen\***\Cookies\benny@2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\benny@warezfusion[1].txt
C:\Dokumente und Einstellungen\***\Cookies\benny@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\***\Cookies\benny@ads.addynamix[1].txt
.as1.falkag.de [ C:\Dokumente und Einstellungen\Administrator.SAMSUNG-KDB3FP7\Anwendungsdaten\Mozilla\Firefox\Profiles\lwq28s5k.default\cookies.txt ]
.as1.falkag.de [ C:\Dokumente und Einstellungen\Administrator.SAMSUNG-KDB3FP7\Anwendungsdaten\Mozilla\Firefox\Profiles\lwq28s5k.default\cookies.txt ]
.as1.falkag.de [ C:\Dokumente und Einstellungen\Administrator.SAMSUNG-KDB3FP7\Anwendungsdaten\Mozilla\Firefox\Profiles\lwq28s5k.default\cookies.txt ]
.as1.falkag.de [ C:\Dokumente und Einstellungen\Administrator.SAMSUNG-KDB3FP7\Anwendungsdaten\Mozilla\Firefox\Profiles\lwq28s5k.default\cookies.txt ]
.as1.falkag.de [ C:\Dokumente und Einstellungen\Administrator.SAMSUNG-KDB3FP7\Anwendungsdaten\Mozilla\Firefox\Profiles\lwq28s5k.default\cookies.txt ]
.mediaplex.com [ C:\Dokumente und Einstellungen\Administrator.SAMSUNG-KDB3FP7\Anwendungsdaten\Mozilla\Firefox\Profiles\lwq28s5k.default\cookies.txt ]
C:\Dokumente und Einstellungen\Administrator.SAMSUNG-KDB3FP7\Cookies\administrator@doubleclick[2].txt
C:\Dokumente und Einstellungen\Administrator.SAMSUNG-KDB3FP7\Cookies\administrator@as1.falkag[1].txt
C:\Dokumente und Einstellungen\Administrator.SAMSUNG-KDB3FP7\Cookies\administrator@mediaplex[1].txt
C:\Dokumente und Einstellungen\***\Cookies\benny@doubleclick[1].txt
C:\Dokumente und Einstellungen\***\Cookies\benny@mediaplex[1].txt
C:\Dokumente und Einstellungen\***\Cookies\benny@as1.falkag[1].txt
Trojan.Unknown Origin
C:\DOKUMENTE UND EINSTELLUNGEN\BENNY.LORD\LOKALE EINSTELLUNGEN\TEMP\NSB4.TMP\EULADLG.DLL
C:\DOKUMENTE UND EINSTELLUNGEN\BENNY.LORD\LOKALE EINSTELLUNGEN\TEMP\NSR4.TMP\EULADLG.DLL
C:\DOKUMENTE UND EINSTELLUNGEN\BENNY.LORD\LOKALE EINSTELLUNGEN\TEMP\NSV4B.TMP\EULADLG.DLL
Nachdem nun diese drei Schritte erledigt sind scheint mein System wieder fehlerfrei zu laufen. Allerdings würde ich gerne 100% sicher gehen das ich auch alles entfernt habe! Habe nun noch einmal eine Überprüfung mit MalwareBytes Anti-Malware und mit SUPERAntiSpyware laufen lassen und die finden nun nichts mehr. Hier auch noch einmal die beiden neuen Logs: MalwareBytes Anti-Malware Log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1119
Windows 5.1.2600 Service Pack 2
06.09.2008 13:30:31
mbam-log-2008-09-06 (13-30-31).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 132860
Laufzeit: 1 hour(s), 20 minute(s), 5 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 09/06/2008 at 03:12 PM
Application Version : 4.21.1004
Core Rules Database Version : 3558
Trace Rules Database Version: 1546
Scan type : Complete Scan
Total Scan Time : 01:33:32
Memory items scanned : 420
Memory threats detected : 0
Registry items scanned : 5477
Registry threats detected : 0
File items scanned : 83264
File threats detected : 0
Und als aller letztes noch das Logfile des HijackThis Scans: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:30:08, on 06.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Conceptronic\Bluetooth Software\bin\btwdins.exe c:\Programme\LRZ VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\NDAS\System\ndassvc.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\Logi_MwX.Exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Appz\System\Vista Look\Glass2k.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Winamp\winampa.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Conceptronic\Bluetooth Software\BTTray.exe C:\WINDOWS\System32\svchost.exe C:\Programme\NDAS\System\ndasmgmt.exe C:\Programme\TimeLeft3\TimeLeft.exe C:\Appz\System\Printkey\Printkey2000.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Appz\Antivirus\0_hijackthis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [Glass2k] C:\Appz\System\Vista Look\Glass2k.exe O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1 O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: TimeLeft.lnk = C:\Programme\TimeLeft3\TimeLeft.exe O4 - Startup: Verknüpfung mit Printkey2000.lnk = C:\Appz\System\Printkey\Printkey2000.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe O4 - Global Startup: TrekStor NDAS-Geräte-Manager.lnk = C:\Programme\NDAS\System\ndasmgmt.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Conceptronic\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Conceptronic\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Conceptronic\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Conceptronic\Bluetooth Software\bin\btwdins.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: NDAS Service (ndassvc) - XIMETA, Inc. - C:\Programme\NDAS\System\ndassvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe -- End of file - 9210 bytes So, ich hoffe ich hab nun alles nötige zusammengetragen! Bitte kann einer der Experten noch einmal über meine Logs schauen und mir sagen, ob ich nun alle Plagegeister von meinen Rechner entfert habe! Vielen Dank für Eure Hilfe!!! |
|
06.09.2008, 17:06
| #2 |
| Administrator > Competence Manager  | Mehrere Trojaner beseitigt, aber ist das System nun wirklich sauber?!? Hallo Grosskatze und
__________________ ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation
__________________ |
|
06.09.2008, 17:53
| #3 |
| | Mehrere Trojaner beseitigt, aber ist das System nun wirklich sauber?!? [GC]Sunny vielen Dank für Deine schnelle antwort und Deine Unterstützung!
__________________CCleaner ist gelaufen und danach Combofix. Hier schon mal das Log von ComboFix: Code:
ATTFilter ComboFix 08-09-05.02 - *** 2008-09-06 18:24:40.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.941 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\wpcap.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
-------\Legacy_TDSSSERV
-------\Service_NPF
-------\Service_TDSSserv
((((((((((((((((((((((( Dateien erstellt von 2008-08-06 bis 2008-09-06 ))))))))))))))))))))))))))))))
.
2008-09-06 11:16 . 2008-09-06 11:16 <DIR> d-------- C:\Programme\CCleaner
2008-09-06 11:15 . 2008-09-06 11:15 <DIR> d-------- C:\Programme\Yahoo!
2008-09-06 03:00 . 2008-09-06 03:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SUPERAntiSpyware.com
2008-09-06 02:59 . 2008-09-06 02:59 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-09-06 02:59 . 2008-09-06 02:59 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2008-09-06 02:49 . 2008-09-06 02:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-06 02:20 . 2008-09-06 02:20 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-06 02:20 . 2008-09-06 02:20 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-09-06 02:20 . 2008-09-06 02:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2008-09-06 02:20 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-06 02:20 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-06 02:09 . 2008-09-06 11:37 3,086 --a------ C:\WINDOWS\system32\tmp.reg
2008-09-06 02:00 . 2008-09-06 02:05 250 --a------ C:\WINDOWS\gmer.ini
2008-08-20 21:13 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-08-20 21:13 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-06 16:30 163,712 ----a-w C:\WINDOWS\system32\drivers\vidstub.sys
2008-09-05 22:22 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2008-09-05 21:25 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-09-05 20:20 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\skypePM
2008-08-20 09:03 12,518 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2008-08-19 06:33 --------- d-----w C:\Programme\Java
2008-08-13 12:24 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft Help
2007-11-18 22:48 32 ----a-w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ezsid.dat
2007-01-18 15:04 41,464 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-09-25 4870144]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-01-03 126976]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-01-03 577536]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"Synchronization Manager"="C:\WINDOWS\system32\mobsync.exe" [2004-08-04 144384]
"Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-08-12 1836544]
"Glass2k"="C:\Appz\System\Vista Look\Glass2k.exe" [2007-01-28 56325]
"BootSkin Startup Jobs"="C:\Programme\WinCustomize\BootSkin\BootSkin.exe" [2004-04-26 270336]
"LogonStudio"="C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 987187]
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2004-03-12 81920]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2006-11-21 35328]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"nwiz"="nwiz.exe" [2003-09-25 C:\WINDOWS\system32\nwiz.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2002-11-21 C:\WINDOWS\AGRSMMSG.exe]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 C:\WINDOWS\LOGI_MWX.EXE]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 C:\WINDOWS\system32\bthprops.cpl]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonuiX.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Programme\SUPERAntiSpyware\SASWINLO.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\FlashFXP\\FlashFXP.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 156800]
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 5248]
R0 lfsfilt;Lean File Sharing;C:\WINDOWS\system32\DRIVERS\lfsfilt.sys [2006-03-20 140160]
R0 lpx;LPX Protocol;C:\WINDOWS\system32\DRIVERS\lpx.sys [2006-03-20 44288]
R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 11264]
R3 ndasbus;NDAS Bus Driver;C:\WINDOWS\system32\DRIVERS\ndasbus.sys [2006-03-20 59136]
S3 ndasscsi;NDAS SCSI Miniport Driver;C:\WINDOWS\system32\DRIVERS\ndasscsi.sys [2006-03-20 115584]
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\k8ifzbdz.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.chip.de
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Yahoo!\Common\npyaxmpb.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-06 18:30:24
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\BRSS01A.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Conceptronic\Bluetooth Software\bin\btwdins.exe
C:\Programme\LRZ VPN Client\cvpnd.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Conceptronic\Bluetooth Software\BTTray.exe
C:\Programme\NDAS\System\ndasmgmt.exe
C:\Programme\NDAS\System\ndassvc.exe
C:\Programme\TimeLeft3\TimeLeft.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\HPZIPM12.EXE
C:\Appz\System\Printkey\Printkey2000.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-06 18:35:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-06 16:34:57
Pre-Run: 7,183,060,992 Bytes frei
Post-Run: 7,152,095,232 Bytes frei
147
Sobald Panda Active Scan fertig ist poste ich auch dieses Log. |
|
06.09.2008, 19:02
| #4 |
| | Mehrere Trojaner beseitigt, aber ist das System nun wirklich sauber?!? So, und nun noch das Log von Panda Active Scan. Der hat noch einiges gefunden... Code:
ATTFilter ;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-09-06 19:56:04
PROTECTIONS: 0
MALWARE: 9
SUSPECTS: 3
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139535 Application/Processor HackTools No 0 Yes No C:\Appz\SmitfraudFix\Process.exe
00139535 Application/Processor HackTools No 0 Yes No C:\Appz\Antivirus\SmitfraudFix\Process.exe
01185375 Application/Psexec.A HackTools No 0 Yes No C:\System Volume Information\_restore{4CB241E1-2339-4B27-8762-D39069B5D66F}\RP2\A0000033.EXE
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{4CB241E1-2339-4B27-8762-D39069B5D66F}\RP2\A0000022.sys
02931031 Trj/Sinowal.VSP Virus/Trojan No 0 Yes No C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\6a1ldmvx.default\ImapMail\imap.1und1.de\INBOX[In776162.zip][In776162.exe]
03268134 Trj/Agent.JEN Virus/Trojan No 0 No No C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\6a1ldmvx.default\ImapMail\imap.1und1.de\INBOX[UPS_Lieferschein_8102.zip][UPS_Lieferschein_8102\UPS_Lieferschein.exe]
03268134 Trj/Agent.JEN Virus/Trojan No 0 No No C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\6a1ldmvx.default\ImapMail\imap.1und1.de\INBOX[UPS_Lieferschein_8102.zip][UPS_Lieferschein_8102\UPS_Lieferschein.exe]
03393257 Adware/XPSecurityCenter Adware No 0 Yes No C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird\Profiles\6a1ldmvx.default\ImapMail\imap.1und1.de\INBOX[Rechnung_S833.zip][Rechnung___________________________________________NRDKJH8833423444229.exe]
03477235 Application/SmithFraudFix.A HackTools No 0 Yes No C:\Appz\Antivirus\1_SmitfraudFix.exe
03571102 Adware/RogueAntimalware2008 Adware No 0 No No C:\Appz\Video\aTubeCatcher.exe[unk_0049][_42AEFFB09D914DDF8E5AB212E16D397F]
03582346 Generic Malware Virus/Trojan No 0 Yes No C:\Appz\Antivirus\SmitfraudFix\IEDFix.C.exe
03582346 Generic Malware Virus/Trojan No 0 Yes No C:\Appz\SmitfraudFix\IEDFix.C.exe
;===================================================================================================================================================================================
SUSPECTS
Sent Location *G
;===================================================================================================================================================================================
No C:\Appz\Antivirus\ComboFix.exe *G
No C:\Appz\Antivirus\mbr.exe *G
No C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe *G
Geändert von Grosskatze (06.09.2008 um 19:08 Uhr) |
|
06.09.2008, 19:04
| #5 |
| | Mehrere Trojaner beseitigt, aber ist das System nun wirklich sauber?!? ...und hier der 2te Teil... Code:
ATTFilter ;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description *G
;===================================================================================================================================================================================
184380 MEDIUM MS08-002 *G
184379 MEDIUM MS08-001 *G
182048 HIGH MS07-069 *G
182046 HIGH MS07-067 *G
182043 HIGH MS07-064 *G
179553 HIGH MS07-061 *G
176382 HIGH MS07-057 *G
176383 HIGH MS07-058 *G
170911 HIGH MS07-050 *G
170907 HIGH MS07-046 *G
170906 HIGH MS07-045 *G
170904 HIGH MS07-043 *G
164915 HIGH MS07-035 *G
164913 HIGH MS07-033 *G
164911 HIGH MS07-031 *G
160623 HIGH MS07-027 *G
157262 HIGH MS07-022 *G
157261 HIGH MS07-021 *G
157260 HIGH MS07-020 *G
157259 HIGH MS07-019 *G
156477 HIGH MS07-017 *G
150253 HIGH MS07-016 *G
150249 HIGH MS07-013 *G
150248 HIGH MS07-012 *G
150247 HIGH MS07-011 *G
150243 HIGH MS07-008 *G
150242 HIGH MS07-007 *G
150241 MEDIUM MS07-006 *G
141034 HIGH MS06-076 *G
141033 MEDIUM MS06-075 *G
141030 HIGH MS06-072 *G
137571 HIGH MS06-070 *G
137568 HIGH MS06-067 *G
|
|
06.09.2008, 19:05
| #6 |
| | Mehrere Trojaner beseitigt, aber ist das System nun wirklich sauber?!? und der 3te und letzte... Code:
ATTFilter 133387 MEDIUM MS06-065 *G
133386 MEDIUM MS06-064 *G
133385 MEDIUM MS06-063 *G
133379 HIGH MS06-057 *G
131654 HIGH MS06-055 *G
129977 MEDIUM MS06-053 *G
129976 MEDIUM MS06-052 *G
126093 HIGH MS06-051 *G
126092 MEDIUM MS06-050 *G
126087 HIGH MS06-046 *G
126086 MEDIUM MS06-045 *G
126083 HIGH MS06-042 *G
126082 HIGH MS06-041 *G
126081 HIGH MS06-040 *G
123421 HIGH MS06-036 *G
123420 HIGH MS06-035 *G
120825 MEDIUM MS06-032 *G
120823 MEDIUM MS06-030 *G
120818 HIGH MS06-025 *G
120815 HIGH MS06-022 *G
120814 HIGH MS06-021 *G
117384 MEDIUM MS06-018 *G
114666 HIGH MS06-015 *G
114664 HIGH MS06-013 *G
108744 MEDIUM MS06-008 *G
108743 MEDIUM MS06-007 *G
108742 MEDIUM MS06-006 *G
104567 HIGH MS06-002 *G
104237 HIGH MS06-001 *G
96574 HIGH MS05-053 *G
93395 HIGH MS05-051 *G
93394 HIGH MS05-050 *G
93454 MEDIUM MS05-049 *G
;===================================================================================================================================================================================
|
|
06.09.2008, 19:12
| #7 | |
| Administrator > Competence Manager | Mehrere Trojaner beseitigt, aber ist das System nun wirklich sauber?!? Als letzten Schritt schlage ich dir nur noch vor deine Mails bei Thunderbird zu durchsuchen und alle die dir merkwürdig vorkommen und die nicht kennst sofort zu löschen: Zitat:
 danach das hier ausführen: Schädlinge im Ordner der Systemwiederherstellung:
(Systemwiederherstellung kann nun wieder aktiviert werden.) Wenn es danach noch Probleme gibt, einfach nochmal melden, ansonsten sollte alles wieder im grünen Bereich sein! 
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
07.09.2008, 09:18
| #8 |
| | Mehrere Trojaner beseitigt, aber ist das System nun wirklich sauber?!? So, hab nun auch die letzten infizierten Dateien gefunden und entfernt! Weitere Scans sind nun fehlerfrei! [GC]Sunny, ich danke Dir noch einmal für Deine sehr schnelle und gute Hilfe! Klasse Arbeit und weiter so! |
|
| Themen zu Mehrere Trojaner beseitigt, aber ist das System nun wirklich sauber?!? |
| abgesicherten modus, antivirus, antvir, avira, bho, bonjour, browser, computer, desktop, drivers, erste mal, excel, firefox, google, helper, hijack.wallpaper, hijackthis, hilfe!!, hilfe!!!, hkus\s-1-5-18, installation, logfile, malwarebytes anti-malware, malwarebytes' anti-malware, mehrere, mozilla, pop-up-blocker, problem, registrierungsschlüssel, rogue.multiple, rojaner gefunden, senden, software, spyware, studio, svchost.exe, system, tr/fakeav.am, trojaner, trojaner gefunden, urlsearchhook, vista, windows xp, windows\system32\drivers |
Linear-Darstellung
