Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?

Mats · 13.10.2008, 06:50

Hallo Forum
Ich habe den Trojaner "Silentbanker G" auf meinem PC (gehabt?) Ich arbeite mit onlinebanking. Ich kam plötzlich nicht an meine Kontoübersicht, nachdem ich mich einloggen wollte. Stattdessen wurde ich aufgefordert, aufgrund eines "unberechtigten Zugriffs" auf mein Konto zehn Tans einzugeben, um mein Konto wieder zu aktivieren. Das war vor 10 Tagen. Ich sprach mit der Hotline der Bank und die Herren schlugen sofort Alarm. Niemals Tans eingeben!!! Logo, aber die Website war täuschend echt, nur die links funktionierten nicht. Soweit so gut. Habe dann mein onlinebanking gesperrt, bevor es in Uraub ging. Als ich gestern denn PC startete, kam es zum Update von Avira Antivir. Und siehe da: TR/silentbanker.G wurde gefunden.
Nach Durchsicht und Infos des Forums lief ich Combofix laufen. Ergebnis: Es wird kein Trojaner mehr gefunden. War es das? Oder schlummert der Trojaner nur?
Als ich combofix ausgeführt habe, bekam ich von Avira eine Meldung, dass Combofix einen Trojaner beinhaltet. Hatte AV nicht abgeschaltet. Quarantäne angeordnet und weiter...ohne Probleme. (War das okay???)
Soll ich combofix besser erneut ausführen?

Danke für Antworten!!!

CU Mats

cosinus · 14.10.2008, 20:44

Hallo,

wenn Du schon einfach so diese Programme ausführst, ohne dass Dir ein Regular oder Kompetenzler dazu rät, warum postest Du denn nicht einmal die Logfiles davon? Wie soll man ohne die überhaupt eine vernünftige Aussage machen??

Reiche die bitte nach.

Erstell auch bitte eins von HijackThis und Malwarebytes.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

Mats · 17.10.2008, 09:06

Ich versuche also mal, die logfiles zu posten:
Combofix:
(code)ComboFix 08-10-11.02 - **** 2008-10-12 14:38:06.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.694 [GMT 2:00]
ausgeführt von:: I:\DISK\Antivirenprogramme\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-12 bis 2008-10-12 ))))))))))))))))))))))))))))))
.

2008-10-12 14:34 . 2008-10-12 14:34 <DIR> d-------- C:\Programme\CCleaner
2008-10-12 14:16 . 2008-10-12 14:16 <DIR> d-------- C:\program files
2008-10-12 09:50 . 2008-10-12 09:51 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-12 09:50 . 2008-10-12 09:50 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\Malwarebytes
2008-10-12 09:50 . 2008-10-12 09:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-12 09:50 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-12 09:50 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-04 13:27 . 2008-10-04 13:27 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
2008-10-04 13:26 . 2008-10-04 13:27 <DIR> d-------- C:\Programme\The Cleaner Demo
2008-10-04 13:14 . 2008-10-04 13:14 <DIR> d-------- C:\Programme\Lavasoft
2008-10-04 13:14 . 2008-10-04 13:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-04 12:48 . 2008-10-04 12:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-04 12:29 . 2008-10-04 12:29 <DIR> d-------- C:\Programme\TeaTimer (Spybot - Search & Destroy)
2008-10-04 12:29 . 2008-10-04 12:29 <DIR> d-------- C:\Programme\SDHelper (Spybot - Search & Destroy)
2008-10-04 12:27 . 2008-10-04 12:35 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-10-04 12:27 . 2008-10-12 14:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-04 11:13 . 2008-10-04 11:13 <DIR> d---s---- C:\Dokumente und Einstellungen\******\UserData
2008-10-02 21:31 . 2008-10-02 21:31 <DIR> d-------- C:\Programme\MSXML 4.0
2008-10-01 20:08 . 2008-10-03 11:38 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-01 20:08 . 2008-10-01 20:08 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-01 20:06 . 2008-10-12 12:19 9,433 --a------ C:\logfile
2008-10-01 20:03 . 2008-10-01 20:03 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-10-01 20:03 . 2008-10-01 20:04 <DIR> d-------- C:\Programme\QuickTime
2008-10-01 20:03 . 2008-10-01 20:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Kodak
2008-10-01 20:03 . 2008-10-01 20:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-10-01 20:03 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-10-01 20:03 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-10-01 20:03 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-10-01 20:03 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-10-01 20:02 . 2008-10-01 20:03 <DIR> d-------- C:\Programme\Kodak
2008-10-01 20:00 . 2008-10-01 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kodak
2008-09-30 18:01 . 2008-09-30 18:20 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-09-27 17:52 . 2008-09-27 17:52 58 --a------ C:\WINDOWS\nfsc_patch.ini
2008-09-27 17:43 . 2008-09-27 17:43 8 --a------ C:\WINDOWS\system32\nvModes.dat
2008-09-27 17:10 . 2008-09-27 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-09-27 17:08 . 2008-04-30 17:27 442,368 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-09-26 17:41 . 2008-09-26 17:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA
2008-09-26 17:30 . 2008-09-27 17:08 <DIR> d-------- C:\NVIDIA
2008-09-26 17:28 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-09-26 17:28 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-26 11:46 . 2008-09-26 17:47 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-09-26 11:46 . 2005-02-25 05:34 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-09-19 17:13 . 2008-09-13 19:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Besucher\Vorlagen
2008-09-19 17:13 . 2008-09-13 20:50 <DIR> dr------- C:\Dokumente und Einstellungen\Besucher\Startmenü
2008-09-19 17:13 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Besucher\Netzwerkumgebung
2008-09-19 17:13 . 2008-10-12 14:39 <DIR> d--h----- C:\Dokumente und Einstellungen\Besucher\Lokale Einstellungen
2008-09-19 17:13 . 2008-09-19 17:13 <DIR> dr------- C:\Dokumente und Einstellungen\Besucher\Favoriten
2008-09-19 17:13 . 2008-09-19 17:13 <DIR> dr------- C:\Dokumente und Einstellungen\Besucher\Eigene Dateien
2008-09-19 17:13 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Besucher\Druckumgebung
2008-09-19 17:13 . 2008-09-19 17:14 <DIR> dr-h----- C:\Dokumente und Einstellungen\Besucher\Anwendungsdaten
2008-09-19 17:13 . 2008-09-19 17:13 <DIR> d-------- C:\Dokumente und Einstellungen\Besucher
2008-09-19 16:20 . 2008-09-19 17:08 <DIR> d-------- C:\coolspot AG
2008-09-19 16:20 . 2008-09-19 17:09 20,645 --a------ C:\WINDOWS\system32\drivers\IwUSB.sys
2008-09-17 19:26 . 2008-09-17 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\TomTom
2008-09-17 18:25 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-09-17 17:56 . 2008-09-17 17:56 <DIR> d-------- C:\Programme\Avira
2008-09-17 17:56 . 2008-09-17 17:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-17 17:48 . 2008-09-17 17:48 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\AdobeUM
2008-09-16 20:13 . 2008-09-16 20:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QuickTime
2008-09-16 20:13 . 2008-09-16 20:13 361 --a------ C:\WINDOWS\system32\QuickTime.qtp
2008-09-16 20:12 . 2008-09-16 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\******\WINDOWS
2008-09-16 20:12 . 1997-05-29 16:31 315,904 --a------ C:\WINDOWS\IsUn0407.exe
2008-09-16 20:12 . 2008-09-16 20:12 0 --a------ C:\WINDOWS\OpPrintServer.INI
2008-09-16 20:10 . 2008-09-16 20:12 <DIR> d-------- C:\Programme\Canon
2008-09-15 09:05 . 2008-09-23 17:57 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-09-13 20:50 . 2008-09-13 19:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-09-13 20:50 . 2008-09-13 23:07 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü
2008-09-13 20:50 . 2008-09-13 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2008-09-13 20:50 . 2008-10-01 20:06 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2008-09-13 20:48 . 2008-09-13 20:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-09-13 20:48 . 2008-10-12 09:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-09-13 20:47 . 2008-09-13 20:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User
2008-09-13 20:47 . 2008-09-13 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users
2008-09-13 20:09 . 2008-09-13 19:58 <DIR> d--h----- C:\Dokumente und Einstellungen\******\Vorlagen
2008-09-13 20:09 . 2008-09-13 20:50 <DIR> dr------- C:\Dokumente und Einstellungen\******\Startmenü
2008-09-13 20:09 . 2008-09-27 14:04 <DIR> d--h----- C:\Dokumente und Einstellungen\******\Netzwerkumgebung
2008-09-13 20:09 . 2008-10-12 14:39 <DIR> d--h----- C:\Dokumente und Einstellungen\******\Lokale Einstellungen
2008-09-13 20:09 . 2008-09-13 20:25 <DIR> dr------- C:\Dokumente und Einstellungen\******\Favoriten
2008-09-13 20:09 . 2008-09-17 19:53 <DIR> dr------- C:\Dokumente und Einstellungen\******\Eigene Dateien
2008-09-13 20:09 . 2008-09-13 20:50 <DIR> d--h----- C:\Dokumente und Einstellungen\******\Druckumgebung
2008-09-13 20:09 . 2008-10-12 09:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\*****\Anwendungsdaten
2008-09-13 20:09 . 2008-10-12 14:35 <DIR> d-------- C:\Dokumente und Einstellungen\******
2008-09-13 20:06 . 2008-10-12 14:39 <DIR> d--h----- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen
2008-09-13 20:06 . 2008-09-13 20:06 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten
2008-09-13 20:06 . 2008-09-13 20:06 <DIR> d--hs---- C:\Dokumente und Einstellungen\NetworkService
2008-09-13 20:06 . 2008-10-12 14:39 <DIR> d--h----- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen
2008-09-13 20:06 . 2008-09-13 20:06 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten
2008-09-13 20:06 . 2008-09-13 20:06 <DIR> d--hs---- C:\Dokumente und Einstellungen\LocalService
2008-09-13 20:05 . 2008-09-13 19:58 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Vorlagen
2008-09-13 20:05 . 2008-09-13 20:50 <DIR> dr------- C:\WINDOWS\system32\config\systemprofile\Startmenü
2008-09-13 20:05 . 2008-09-13 20:50 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Netzwerkumgebung
2008-09-13 20:05 . 2008-10-12 14:39 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen
2008-09-13 20:05 . 2008-09-13 20:50 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Favoriten
2008-09-13 20:05 . 2008-09-13 20:50 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Druckumgebung
2008-09-13 20:05 . 2008-09-13 20:50 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten
2008-09-13 20:02 . 2008-09-13 20:02 <DIR> d-------- C:\Programme\microsoft frontpage
2008-09-13 20:01 . 2008-09-20 12:08 <DIR> d--hs---- C:\Dokumente und Einstellungen\All Users\DRM
2008-09-13 20:00 . 2008-09-13 20:00 <DIR> d-------- C:\Programme\Online-Dienste
2008-09-13 20:00 . 2008-09-13 20:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Dienste

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-27 15:53 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-09-17 17:48 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-16 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-09-13 21:08 --------- d-----w C:\Programme\CREATIVE
2008-09-13 17:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-09-13 17:30 --------- d-----w C:\Programme\Ahead
2008-09-13 17:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-09-13 17:24 --------- d-----w C:\Programme\SiS7012
2008-09-13 17:15 --------- d-----w C:\Programme\CyberLink
2008-09-13 17:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-09-13 17:10 --------- d-----w C:\Programme\Microsoft IntelliPoint
2008-09-13 17:09 --------- d-----w C:\Programme\Microsoft IntelliType Pro
2008-09-13 16:50 --------- d-----w C:\Programme\UltimateZip
2008-09-13 16:49 --------- d-----w C:\Programme\xp-AntiSpy
2008-09-13 16:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-09-13 16:29 --------- d-----w C:\Programme\sisagp
2008-09-13 16:12 --------- d-----w C:\Programme\DVD Shrink
2008-09-13 16:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-09-13 16:07 --------- d-----w C:\Programme\Lavalys
2008-09-13 16:06 --------- d--h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-28 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 1667584]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"type32"="C:\Programme\Microsoft IntelliType Pro\type32.exe" [2004-06-03 172032]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2004-06-03 204800]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 13529088]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 86016]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 286720]
"nwiz"="nwiz.exe" [2008-05-03 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-28 15360]

C:\Dokumente und Einstellungen\******\Startmen\Programme\Autostart\
UltimateZip Quick Start.lnk - C:\Programme\UltimateZip\uzqkst.exe [2001-09-05 229888]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Kodak EasyShare Software.lnk - C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2007-09-19 282624]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"= 1625564991.CPX

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Steam\\SteamApps\\magicmats\\counter-strike source\\hl2.exe"=
"C:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=

R3 IwUSB;IwUSB Driver;C:\WINDOWS\system32\Drivers\IwUSB.sys [2008-09-19 20645]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2004-11-03 267136]

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-10-01 C:\WINDOWS\Tasks\EasyShare Registration Task.job
- C:\WINDOWS\system32\rundll32.exe [2004-08-28 13:53]
.
.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.faz.net/s/homepage.html
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 14:39:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-12 14:40:38
ComboFix-quarantined-files.txt 2008-10-12 12:40:36

Vor Suchlauf: 8 Verzeichnis(se), 43.486.162.944 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 43,487,707,136 Bytes frei

206 --- E O F --- 2008-10-04 07:04:07
(/code)

War das richtig so? Ich hoffe....Vielen Dank für Hilfe!!!!

Mats · 17.10.2008, 09:13

Hier das Logfile von HiJackThis:
#Logfile of HijackThis v1.98.2
Scan saved at 12:51:09, on 16.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
I:\DISK\Schutzprogramme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Aktuell - FAZ.NET
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {64FD35CE-4D5C-4ABF-9A46-BB9DF4616684} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {64FD35CE-4D5C-4ABF-9A46-BB9DF4616684} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
#

Mats · 17.10.2008, 09:41

Logfile von Malwarebytes:
(code)Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1259
Windows 5.1.2600 Service Pack 3

17.10.2008 10:35:44
mbam-log-2008-10-17 (10-35-44).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 161530
Laufzeit: 50 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)(/code)

Vielen Dank für Hilfe!

cosinus · 20.10.2008, 11:47

Die Logfiles an sich sehen okay aus, mach aber nochmal bitte nen Check mit Blacklight und poste das Logfile davon in Codetags!

Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

danach:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

registry values to delete:
HKLM\software\microsoft\windows nt\currentversion\drivers32 | wave1

files to delete:
c:\windows\1625564991.CPX
c:\windows\system32\1625564991.CPX
c:\windows\system32\drivers\1625564991.CPX

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?

Plagegeister aller Art und deren Bekämpfung: Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?