Neue Logdatei nach Entfernen der Malware: :aplaus:


ähem:

Der kleine Mistkerl hat sich zurückgemeldet!

Fund durch Antivir - Malwarebytes´Antimalware findet ihn nicht mehr!

Erste Maßnahme: Alle Konten - Pins über anderen Rechner geändert!

Jetzt gehts los: Ich werde, sofern keine andere Anweisung kommt, mit der Windows - CD booten und zunächst den Bootsektor neu schreiben lassen!

Mal sehen, was es hilft, ich komme dann neu!

Wo genau hat Antivir den silentbanker gemeldet?

In der Datei 'C:\WINDOWS\system32\6829279361.CPX'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.aflz' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Auf welchen Seiten bist du gesurft, nachdem Mbam den silentbanker gekillt hat?

Nutz bitte einmal Combofix:

Downloade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

Zitat:

Zitat von raman

Auf welchen Seiten bist du gesurft, nachdem Mbam den silentbanker gekillt hat?

www.trojaner-board.de
www.clan-rotn.de
www.google.de
www.chip.de

Ich habe gerademittels Kommando "fixmbr" den BootSektor (Sektor 0) neu geschrieben, lasse noch einmal Antivir und Malwarebytes´Anti-Malware durchlaufen, schaue, ob der Virus nach dem letzten löschen wieder auftaucht (wenn nicht könnte er ja im BootSektor gesessen haben)!

Danach führe ich wie vorgeschlagen Combofix durch und sage jetzt schon einmal danke für die Mühe! Ich melde mich nach Vollzug wieder!

Nach dem Reinigen des BootSektors (Sektor 0) wurde keine Virensoftware gefunden.

Ich habe jetzt Combofix durchlaufen lassen.

Das Log ist beigefügt!

Allerdings identifiziert Antivir nun Combofix als Virus:

Die Datei 'C:\Dokumente und Einstellungen\Bernie\Desktop\ComboFix.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49584a33.qua' verschoben!

Hier die Log Daten:

ComboFix 08-10-06.05 - Bernie 2008-10-07 13:28:04.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.679 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Bernie\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-07 bis 2008-10-07 ))))))))))))))))))))))))))))))
.

2008-10-07 08:53 . 2008-10-07 08:53 <DIR> d-------- C:\Programme\Trend Micro
2008-10-06 22:48 . 2008-10-06 22:49 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-06 22:48 . 2008-10-06 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\Malwarebytes
2008-10-06 22:48 . 2008-10-06 22:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-06 22:48 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-06 22:48 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-06 21:19 . 2008-10-06 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\Windows Search
2008-10-06 15:27 . 2008-10-06 15:27 <DIR> d-------- C:\WINDOWS\system32\GroupPolicy
2008-10-06 15:27 . 2008-10-06 15:27 <DIR> d-------- C:\Programme\Windows Desktop Search
2008-10-06 15:27 . 2008-10-06 15:27 <DIR> d-------- C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\Windows Desktop Search
2008-10-06 15:25 . 2008-03-07 19:02 192,000 --------- C:\WINDOWS\system32\dllcache\offfilt.dll
2008-10-06 15:25 . 2008-03-07 19:02 98,304 --------- C:\WINDOWS\system32\dllcache\nlhtml.dll
2008-10-06 15:25 . 2008-03-07 19:02 29,696 --------- C:\WINDOWS\system32\dllcache\mimefilt.dll
2008-10-06 15:13 . 2008-10-06 15:13 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-09-25 19:58 . 2008-09-25 19:58 352 --a------ C:\WINDOWS\system32\121.CPX
2008-09-24 19:34 . 2008-09-24 19:34 139,264 --a------ C:\Dokumente und Einstellungen\Bernie\77tgx.exe
2008-09-20 11:14 . 2008-09-20 11:14 <DIR> d-------- C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\FinalBurner .ISO

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-07 10:43 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-10-07 08:33 --------- d-----w C:\Programme\audiograbber
2008-10-06 19:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-06 18:31 --------- d-----w C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\OpenOffice.org2
2008-10-06 18:23 --------- d-----w C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\teamspeak2
2008-10-06 18:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-06 17:10 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-20 09:32 --------- d-----w C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\FinalBurner DATA
2008-09-05 21:31 267,304 ------w C:\WINDOWS\system32\dllcache\wgaLogon.dll
2008-09-05 21:30 952,360 ------w C:\WINDOWS\system32\dllcache\WgaTray.exe
2008-08-19 18:46 --------- d-----w C:\Programme\Lavasoft
2008-08-19 18:46 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:26 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
2007-02-02 08:38 6,936 -c--a-w C:\Programme\pad_file.htm
2007-02-02 08:38 25,993 -c--a-w C:\Programme\pad_file.xml
2006-10-11 08:04 67,700 ----a-w C:\Programme\xpicleanup.exe
2008-05-08 09:22 32,768 -csha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008050820080509\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 7630848]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"nwiz"="nwiz.exe" [2006-08-11 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 1294336]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"FoFileAssociate"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"= 6829279361.CPX

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"C:\\Programme\\FRITZ!DSL\\StCenter.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"=
"C:\\Programme\\7-Zip\\7zFM.exe"=
"C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\lotrbfme.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8088:UDP"= 8088:UDP:SUM

R2 IGDCTRL;AVM IGD CTRL Service;C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2006-11-07 14976]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [ ]
S3 SKYNET;TechniSat DVB-PC TV Star PCI;C:\WINDOWS\system32\DRIVERS\SkyNET.SYS [2007-03-06 419096]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aa65ef64-43f7-11dc-8d7c-00040e7b6406}]
\Shell\AutoRun\command - E:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d0a81e66-d6e6-11db-8b82-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe

*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Bernie\Anwendungsdaten\Mozilla\Firefox\Profiles\y4q02os1.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-07 13:29:20
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-07 13:30:00
ComboFix-quarantined-files.txt 2008-10-07 11:29:58

Vor Suchlauf: 12 Verzeichnis(se), 136.944.312.320 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 136,938,602,496 Bytes frei

132 --- E O F --- 2008-09-10 15:28:13

Ich mach mir gleich ins Höschen!

Jetzt zeigt mir Antivir auch noch die hier:

Die Datei 'C:\System Volume Information\_restore{BF3949A7-2CFF-4A3C-8D34-7052B02BAAE3}\RP2\A0000022.exe'
enthielt einen Virus oder unerwünschtes Programm 'SPR/Tool.Hide.A' [riskware].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b503a.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{BF3949A7-2CFF-4A3C-8D34-7052B02BAAE3}\RP2\A0000030.com'
enthielt einen Virus oder unerwünschtes Programm 'APPL/NirCmd.E.2.B' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b503b.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{BF3949A7-2CFF-4A3C-8D34-7052B02BAAE3}\RP2\A0000046.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b5041.qua' verschoben!

Die Datei 'C:\WINDOWS\NIRCMD.exe'
enthielt einen Virus oder unerwünschtes Programm 'APPL/NirCmd.E.2.B' [program].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '493d5061.qua' verschoben!

Oder sind das Dateien von Combofix, die nur für Viren gehalten werden? Bitte, lass es so sein!